Cours Droit

LE CADRE LGAL DE LA PROTECTION
DES DONNES PERSONNELLES
SUPINFO Official Document

SUPINFO International University http://www.supinfo.com
Objectifs
A lissue de ce cours vous aurez acquis les connaissances et

comptences suivantes :
Objectif 1 : comprendre les principes de la protection des

donnes
Objectif 2 : reprendre les dfinitions juridiques des termes de la

protection des donnes
Objectif 3 : les obligations du responsable des traitements

Plan de la prsentation
Chapitre 1 : Loi Informatique et

liberts
Chapitre 2 : Principes de la
personnelles
Chapitre 3 : Obligations du
responsable de traitement

LOI INFORMATIQUE ET LIBERTS

Plan du chapitre 1
Dfinitions
Principes de la protection des

donnes personnelles
Obligations du responsable de
traitement

La loi "Informatique et Liberts" du 6 janvier 1978 modifie est
applicable ds lors quil existe un traitement automatis ou un
fichier manuel, cest--dire un fichier informatique ou un fichier
papier contenant des informations personnelles relatives
des personnes physiques.

Ne sont pas soumis la loi les traitements mis en uvre pour
lexercice dactivits exclusivement personnelles tels que par
exemple
les agendas lectroniques,
les rpertoires dadresses,
les sites internet familiaux en accs restreint.

La loi "Informatique et Liberts" ne sapplique pas aux
personnes morales (ex. : fichier de noms de socits).
Cependant, si ce fichier dentreprises contient des noms de
personnes physiques (ex : nom du responsable commercial), la
loi "Informatique et Liberts" est applicable.

Directive europenne
Cf module sur la rforme
Date dentre en vigueur 2018

DFINITIONS

Un fichier informatique
Un fichier informatique est une unit informationnelle
physiquement stocke sur un support de mmoire de masse
permanent (disque dur par exemple).
Un fichier a gnralement comme attributs :

un nom ;
un chemin d'accs ;
une taille mesure en octets ;
une date de cration et une de dernire modification.

Plusieurs systmes de fichiers multi-utilisateur rattachent aussi
chaque fichier un propritaire et des droits d'accs.
chaque fichier a un contenu, soit une suite ordonne d'octets,

qui peut reprsenter n'importe quelle donne binaire
dterministe : un programme informatique un document, un
texte, etc.

intgrit des fichiers
Deux fichiers sont gaux s'ils ont la mme taille, et les mmes
octets dans le mme ordre.
Comparer tous les octets de deux fichiers potentiellement

identiques est malheureusement une opration longue
(proportionnelle la taille du fichier).
Elle n'est pas non plus toujours possible, comme dans le cas
du transport d'un fichier d'un point un autre que ce soit via un
support physique ou par le rseau.

Diffrentes mthodes sont utilises pour vrifier l'intgrit d'un
fichier :
la comparaison des noms : utile uniquement pour le

ddoublage et avec des risques d'erreur tant des faux
positifs que des faux ngatifs.
la comparaison des dates ou d'autres mtadonnes

associes au fichier : il existe un fort risque d'erreur, ces
mtadonnes pouvant tre modifies indpendamment du
contenu du fichier.

la comparaison de numros informels de versions : la
problmatique est dans ce cas de reprer une version d'un
fichier parmi plusieurs, le systme ncessite de la rigueur
l'utilisateur devant mettre jour le numro de version et ne
protge en rien contre les modifications accidentelles, par
exemple lors du transport)
le contrle de la taille : deux tailles diffrentes garantissent

que des fichiers diffrent, mais cela ne permet pas de
vrifier qu'ils sont identiques, il y a de plus des risques
importants de faux positifs)

le checksum (somme de contrle) : c'est une mthode simple
pour s'assurer de l'intgrit d'un fichier aprs transport, la
mthode n'offre cependant qu'une garantie limite par le
nombre de bits consacrs au checksum, il existe aussi un risque
de mauvaise foi un fichier pouvant tre facilement falsifi pour
produire un cheksum donn)

La signature ou empreinte : Il existe plusieurs type de
signatures: certaines comme les signatures MD5 ou SHA-1 sont
similaires un checksum mais bien plus complexes falsifier.
On compare le rsultat d'un calcul de signature ralis sur le
contenu du fichier avec une signature obtenue depuis un site
de confiance. D'autres systmes de signature bass sur un
systme de clefs publiques valident non seulement l'intgrit
d'un fichier mais aussi l'identit de son expditeur.

Types de fichiers
On distingue habituellement les fichiers contenant des
informations l'usage exclusif du systme de fichiers
(appels fichiers spciaux) des autres fichiers (parfois appels
fichiers rgulaires). Parmi les fichiers spciaux on compte :
les rpertoires (aussi appels dossiers) ;
les fichiers lis un priphrique, permettant d'accder

celui-ci ;
les liens symboliques (parfois appels alias ou raccourcis).

Les fichiers rgulaires peuvent tre diviss en fichiers texte
et fichiers binaires.
Les premiers ont un contenu pouvant tre interprt comme

du texte, la plupart du temps en codage ASCII ou une
extension de ASCII (UTF-8 ou extension rgionale). Des
fichiers UTF-16 existent galement.

Fichier texte
quelques exemples de fichiers textes :
fichiers XML ;
code source d'un programme ;
fichiers de configuration d'un logiciel pouvant tre lus et dits
par l'utilisateur ;
fichiers destins tre lus par l'utilisateur.
Le contenu d'un fichier binaire n'est pas du texte et correspond
souvent un format prcis. Voici quelques exemples de formats
binaires usuels :
code objet ;
fichier de base de donnes structur en enregistrements de taille
fixe ou variable ;
document de traitement de texte ;
fichiers multimdias : images, sons, vidos.
Quest-ce quun traitement rgi par la
loi informatique et liberts ?
Art. 2 de la loi "Informatique et liberts
" Constitue un traitement de donnes caractre personnel

toute opration ou tout ensemble doprations portant sur de
telles donnes, quel que soit le procd utilis, et notamment
la collecte, lenregistrement, lorganisation, la conservation,
ladaptation ou la modification, lextraction, la consultation,
lutilisation, la communication par transmission, diffusion ou
toute autre forme de mise disposition, le rapprochement ou
linterconnexion, ainsi que le verrouillage, leffacement ou la
destruction ".

Un fichier de donnes
" Constitue un fichier de donnes caractre personnel tout
ensemble structur et stable de donnes caractre personnel
accessibles selon des critres dtermins ".

La notion de traitement automatis :
"Est dnomme traitement automatis dinformations

nominatives toute opration aboutissant la constitution
informatique de fichiers ou de bases de donnes, et ce quelque
soit le moyen ou le support informatique, ainsi que toute
procdure de consultation, de tltransmission dinformations
nominatives, quelque soit le moyen de tlcommunication utilis
".

La notion de traitement automatis :
Attention : les dispositions de la loi "informatique et liberts"
sappliquent ds la phase de collecte des donnes et non pas
seulement lors de la mise sur informatique des donnes. En
consquence, vous ne pouvez dbuter votre recherche et le
recueil des donnes quaprs autorisation du Correspondant
Informatique et liberts (ou de la CNIL pour certains types de
donnes personnelles ou finalits de traitement) .

Exemple de traitements :
Fichier dadresses , application informatique, base contacts,
autocommutateur, espaces numriques de travail, systme
denregistrement des conversations tlphoniques sur
support numrique.
galement toute procdure de tltransmission de donnes

personnelles, dinterconnexion, de consultation et ce quel
que soit le moyen de tlcommunication ainsi que toute
application de cartes puce.
Ne sont pas concerns par la loi, les traitements mis en

uvre pour lexercice dactivits exclusivement personnelles
(agendas lectroniques, rpertoires dadresses personnelles,
...).
Quest-ce quune donne personnelle ?
Art. 2 de la loi "Informatique et liberts
" Constitue une donne caractre personnel toute information relative une
personne physique identifie ou qui peut tre identifie, directement ou
indirectement, par rfrence un numro didentification ou un ou plusieurs
lments qui lui sont propres. Pour dterminer si une personne est identifiable,
il convient de considrer lensemble des moyens en vue de permettre son
identification dont dispose ou auxquels peut avoir accs le responsable du
traitement ou toute autre personne ".
" La personne concerne par un traitement de donnes caractre personnel

est celle laquelle se rapportent les donnes qui font lobjet du traitement ".

Point de vue de la CNIL les donnes
personnelles
Les donnes sont considres " caractre personnel" ds lors

quelles concernent des personnes physiques identifies
directement ou indirectement.
Une personne est identifie lorsque par exemple son nom

apparat dans un fichier.

Les donnes personnelles
Une personne est identifiable lorsquun fichier comporte des
informations permettant indirectement son identification:
adresse IP, nom, n dimmatriculation, n de tlphone,
photographie, lments biomtriques tels que lempreinte
digitale, ADN, numro dIdentification Nationale tudiant
(INE),
ensemble dinformations permettant de discriminer une

personne au sein dune population (certains fichiers
statistiques) tels que, par exemple,
le lieu de rsidence et profession et sexe et ge, .....

personnelles
Des donnes que vous pourriez considrer comme anonymes
peuvent constituer des donnes caractre personnel si elles
permettent didentifier indirectement ou par recoupement
dinformations une personne prcise. Il peut en effet sagir
dinformations qui ne sont pas associes au nom dune
personne mais qui permettent aisment de lidentifier et de
connatre ses habitudes ou ses gots.

personnelles
En ce sens, constituent galement des donnes caractre
personnel toutes les informations dont le recoupement permet
didentifier une personne prcise :
une empreinte digitale, lADN, une date de naissance
associe une commune de rsidence ).
Les technologies de linformation et de la communication

gnrent de nombreuses donnes personnelles :
un appel pass par un tlphone portable, une connexion
Internet et aussi des traces informatiques facilement
exploitables grce aux progrs des logiciels, notamment les
moteurs de recherche.

Quest-ce quune donne sensible ?
Les donnes sensibles sont celles qui font apparatre,

directement ou indirectement,
les origines raciales ou ethniques,
les opinions politiques, philosophiques ou religieuses ou
lappartenance syndicale des personnes, ou
sont relatives la sant ou la vie sexuelle de celles-ci.
Par principe, la collecte et le traitement de ces donnes sont

interdits.

Exclu de linterdiction
Cependant, dans la mesure o la finalit du traitement lexige, ne
sont pas soumis cette interdiction :
Les traitements pour lesquels la personne concerne a donn

son consentement exprs ;
Les traitements justifis par un intrt public aprs autorisation
de la CNIL ou dcret en Conseil dEtat
La collecte et le traitement de ces donnes doivent dans ces

hypothses, tre justifis au cas par cas au regard des objectifs
recherchs

Donnes risque
Autres donnes risque :
donnes gntiques,
donnes relatives aux infractions pnales, aux condamnation
etc.,
donnes comportant des apprciations sur les difficults
sociales des personnes,
donnes biomtriques,
donnes comprenant le numro NIR
donnes gntiques, donnes pnales ou donnes
comportant des apprciations sur les difficults sociales des
personnes

Demande la CNIL pour le traitement
des donnes sensibles
La Commission se prononce dans un dlai de 2 mois compter
de la rception de la demande. Toutefois, ce dlai peut tre
renouvel une fois sur dcision motive de son prsident.
Lorsque la CNIL ne sest pas prononce dans ces dlais, la

demande dautorisation est rpute rejete.

Donnes biomtriques
Une donne biomtrique est une donne qui permet

didentifier un individu partir de ses caractristiques
physiques, biologiques ou physiologiques.
Depuis 2004 autorisation pralable de la CNIL.

Exemple LADN, la rtine, liris, les empreintes digitales, le
contour de la main, ...

Donnes comprenant le numro NIR
ou qui ncessite la consultation du RNIPP
le numro dinscription des personnes (NIR) au rpertoire

national didentification des personnes physiques (RNIPP),
appel encore numro INSEE ou tout simplement numro de
scurit sociale, est cr partir de ltat civil et est gr par
lINSEE.
Il permet lidentification de toute personne au moyen dun

numro de 13 chiffres. Il est attribu chaque personne sa
naissance sur la base dlments dtat civil transmis par les
mairies lINSEE. (il vous est communiqu au moment de vos examens,
avant vous tes souvent identifi par le NIR de vos parents)

Recommandation de la CNIL sur le NIR
La CNIL recommande que lemploi du NIR comme identifiant des
personnes dans les fichiers soit justifi et en aucun cas
systmatique et gnralis :
Les responsables de la conception dapplications
informatiques doivent donc se doter didentifiants
diversifis et adapts leurs besoins propres ;
La consultation du rpertoire, quelle donne lieu ou non

utilisation du numro dinscription audit rpertoire, doit
tre subordonne la conclusion de conventions spcifiques
avec lINSEE.

Recommandation de la CNIL sur le NIR
Lutilisation du NIR est soumise selon le cas:
une autorisation de la CNIL ou
par dcret en Conseil dEtat pris aprs avis motiv et publi de
la CNIL ou
une dcision de lorgane dlibrant de ltablissement prise
aprs avis motiv et publi de la CNIL.
Si lavis demand la CNIL ne fait pas lobjet dune rponse de cette dernire
dans les dlais lgaux, la demande est rpute accepte.

Pause Questions/Rponses


liberts
personnelles
traitement
PRINCIPES DE LA PROTECTION DES
DONNES PERSONNELLES

Donnes et service public
Les informations que lorganisme et les laboratoires traitent
informatiquement pour remplir leurs missions de service public
doivent tre protges parce quelles relvent de la vie prive
et parce que leur divulgation est susceptible de porter atteinte
aux droits et liberts des personnes concernes.
La loi "Informatique et Liberts" a dfini les principes

respecter lors de la collecte, du traitement et de la conservation
de ces donnes. La loi prvoit galement un certain nombre de
droits pour les personnes dont les donnes personnelles ont
t recueillies.

Le respect des rgles de protection des donnes caractre
personnel est un facteur de transparence et de confiance
lgard des personnes (personnels, personnes concernes par
les traitements de recherche ...).

Les 7 principes cls de la protection des
donnes personnelles
1. Le principe de finalit
Les donnes caractre personnel ne peuvent tre recueillies

et traites que pour un usage dtermin et lgitime,
correspondant aux missions de ltablissement, responsable du
traitement.
Tout dtournement de finalit est passible de sanctions

pnales.

donnes personnelles
2. Le principe de proportionnalit
Seules doivent tre enregistres les informations pertinentes et

ncessaires pour leur finalit.

donnes personnelles
3. Le principe de pertinence des donnes
Les donnes personnelles doivent tre adquates, pertinentes

et non excessives au regard des objectifs poursuivis

donnes personnelles
4. Le principe de dure limite de conservation des donnes
Cest ce que lon appelle le droit loubli.
Les informations ne peuvent tre conserves de faon indfinie

dans les fichiers informatiques. Une dure de conservation doit
tre tablie en fonction de la finalit de chaque fichier.
Au-del, les donnes peuvent tre archives, sur un support

distinct.

donnes personnelles
Dure de conservation
La dure de conservation dclare dans le registre du CIL ou du

responsable du traitement doit correspondre la priode
durant laquelle les donnes restent accessibles ou consultables,
par opposition avec la priode darchivage des donnes
pendant laquelle celles-ci ne sont plus destines tre utilises
et sont de ce fait, conserves sur un support distinct au sein
dun service darchives.

Les 7 principes cls de la protection des donnes
personnelles
Le principe de scurit et de confidentialit
Le responsable du traitement, est astreint une obligation de

scurit. Il doit faire prendre les mesures ncessaires pour garantir
la confidentialit des donnes et viter leur divulgation :
Les donnes contenues dans les fichiers ne peuvent tre

consultes que par les services habilits y accder en raison
de leurs fonctions.

donnes personnelles
Le principe de scurit et de confidentialit
Le responsable du traitement doit prendre toutes mesures pour
empcher que les donnes soient dformes, endommages ou
que des tiers non autoriss y aient accs. Sil est fait appel un
prestataire externe, des garanties contractuelles doivent tre
envisages.
Les mesures de scurit, tant physique que logique, doivent tre
prises. (par ex : Protection anti-incendie, copies de sauvegarde, installation de
logiciel antivirus, changement frquent des mots de passe alphanumriques
dun minimum de 8 caractres.)
Les mesures de scurit doivent tre adaptes la nature des
donnes et aux risques prsents par le traitement.

donnes personnelles
6. Le principe de transparence
La loi garantit aux personnes linformation ncessaire relative aux

traitements auxquels sont soumises des donnes les concernant
et les assure de la possibilit dun contrle personnel. Le
responsable du traitement de donnes personnelles doit avertir
ces personnes ds la collecte des donnes et en cas de
transmission de ces donnes des tiers.

donnes personnelles
7. Le principe du respect du droit des personnes
7.1 Informer les intresss
Lors de linformatisation de tel ou tel service, ou lorsque des
donnes sont recueillies par exemple par voie de
questionnaires, les usagers concerns et le personnel de
lorganisme doivent tre informs de la finalit du
traitement, du caractre obligatoire ou facultatif du recueil,
des destinataires des donnes et des modalits dexercice
des droits qui leur sont ouverts au titre de la loi
"Informatique et Liberts" : droit daccs et de rectification
mais aussi, droit de sopposer, sous certaines conditions,
lutilisation de leurs donnes.

donnes personnelles
Cette information doit tre diffuse, par exemple, au moyen
daffiches apposes dans les services recevant du public, de
mentions portes sur les formulaires de collecte papier et
lectroniques, ainsi que sur les courriers et courriels adresss
aux personnes dont les donnes sont collectes. Des modles
de mentions dinformation sont disponibles sur le site. Voir
"Modles de messages dinformation dans le module 4



liberts
personnelles
traitement
OBLIGATIONS DU RESPONSABLE DE
TRAITEMENT

1. Recueillir le consentement de la personne avant
dutiliser une information qui lidentifie
Les donnes que vous traitez doivent tre exactes, compltes et
mises jour. Elles doivent tre collectes de manire loyale.
Par ex : la prospection lectronique partir dadresses de
courriers lectroniques collectes dans les espaces publics de
linternet (site web, annuaire, forum discussion,) est
interdite.
Sauf drogations, vous ne pouvez pas collecter des donnes

sensibles (origines raciales ou ethniques, opinions politiques,
philosophiques ou religieuses, appartenance syndicale, donnes relatives
la vie sexuelles ou la sant).

Respecter les objectifs du fichier (sa finalit)
La finalit est lobjectif principal dune application informatique de

donnes personnelles.
Exemples de finalit :
gestion des recrutements,
gestion des clients,
enqute de satisfaction,
surveillance des locaux, etc.

Respecter les objectifs du fichier (sa finalit)
Les informations exploites dans un fichier doivent tre

cohrentes par rapport son objectif.
Elles ne peuvent pas tre rutilises de manire
incompatible avec la finalit pour laquelle elles ont t
collectes.
Fixer une dure raisonnable de conservation des

informations collectes
La dure de conservation est proportionnelle aux objectifs

du fichier. A la fin de cette dure, les fichiers doivent tre
dtruits.
Protger le fichier
Le responsable du traitement de donnes personnelles doit

scuriser ses locaux et son systme dinformation en fonction
de la nature des donnes et des risques prsents par le
traitement.

Ne pas divulguer les informations
Seules les personnes autorises (destinataires des donnes)

peuvent accder aux donnes personnelles contenues dans un
fichier.

Agir dans la transparence - Informer
Le responsable du traitement dun fichier doit informer les

personnes concernes : de son identit, de la finalit/objectifs de
son traitement, du caractre obligatoire ou facultatif des rponses
(dans le cadre dune enqute par ex.), des destinataires des
informations, de lexistence de leurs droits, des transmissions du
fichier envisages.

Dclarer les fichiers
Les traitements de donnes personnelles doivent, avant leur mise

en uvre, tre dclars au Correspondant informatique et
liberts.
Aprs la mise en uvre les personnes concernes doivent tre
informes de toute modification ou suppression affectant les
traitements (notamment finalit, nature des donnes, dure de
conservation, personnes concernes, destinataires des donnes, changement
dadresse ou de nom du responsable du traitement...)


Fin du module
Merci de votre attention

LES INSTITUTIONS DE CONTRLE DE
LA GESTION DES DONNES.

Objectifs

Objectif 1 : comprendre le rle de la CNIL.

Objectif 2 : analyser les sanctions de la CNIL.
Objectif 3 : comprendre le rle du contrleur europen.
Chapitre 1 : le rle de la CNIL
Chapitre 2 : lencadrement
juridictionnel de la CNIL
Chapitre 3 : Vie prive et internet
Chapitre 4 : contrleur europen

de la protection des donnes
Chapitre 5 : Le CEPD et vous

L institution de contrle
La cnil

LE RLE DE LA CNIL

Les missions de la CNIL

Informer

Protger

Droit daccs
Toute personne peut :
prendre connaissance de lintgralit des donnes la

concernant dans un fichier
en sadressant directement ceux qui les dtiennent,
en obtenir une copie dont le cot ne peut dpasser celui de

la reproduction.

Droit dopposition
Toute personne a la possibilit de sopposer:
figurer dans un fichier. pour des motifs lgitimes,
ce que les donnes qui la concernent soient utilises

des fins de prospection commerciale . Elle peut refuser sans avoir
se justifier.

Droit de rectification
Toute personne peut faire :
rectifier,
complter,
actualiser,
verrouiller
effacer des informations la concernant lorsquont t
dceles:
des erreurs, des inexactitudes ,
la prsence de donnes dont la collecte, lutilisation, la
communication ou la conservation est interdite.

Le droit daccs aux fichiers intressant la sret
de ltat, la dfense et la scurit publique.
La CNIL exerce, pour le compte des citoyens qui le souhaitent,
laccs aux fichiers intressant la sret de ltat, la dfense et
la scurit publique, notamment ceux des renseignements et
de la police judiciaire. Il sagit donc dun droit daccs indirect.
Pour demander la CNIL de consulter ces fichiers, il faut lui adresser un courrier,
indiquant prcisment son adresse et son numro de tlphone et la photocopie
dun titre didentit.

Protger

Conseiller et rglementer
La rgulation des donnes personnelles passe par diffrents

outils :
des autorisations pour mettre en uvre des traitements,
des avis sur des projets de textes dorigine
gouvernementale impliquant des donnes personnelles ou
crant de nouveaux fichiers, des cadres juridiques
simplifiant laccomplissement des formalits pralables,
des recommandations permettant de fixer sa doctrine dans
certains domaines,
des demandes de conseils des responsables de traitement,
dans des proportions de plus en plus importantes,
notamment par lintermdiaire des correspondants
Informatique et Liberts.

Accompagner la conformit
Lobjectif est de proposer une bote outils de la conformit

prenant appui sur les divers leviers daction dont dispose la CNIL :
les correspondants Informatique et Liberts qui constituent
le rseau privilgi des experts,
le dveloppement des labels,
les rgles internes dentreprise ou BCR (Binding Corporate
Rules) qui encadrent le transfert des donnes des
multinationales hors Union europenne,
la cration de packs de conformit qui sont des
rfrentiels sectoriels, couvrant un secteur dactivit ou une
branche professionnelle dans son intgralit.

Le Correspondant Informatique et
Liberts (CIL)
lheure o le numrique fait partie de notre quotidien, les CIL
(Correspondants Informatique et Liberts) sont devenus des
acteurs incontournables pour agir au sein des organismes
publics ou privs qui traitent des donnes personnelles.
Assurer de manire optimale la protection des donnes

personnelles constitue non seulement une obligation lgale,
mais aussi un enjeu de crdibilit vis--vis des usagers ou des
clients.

Les labels
La CNIL a dsormais la possibilit de dlivrer des labels, des
produits ou des procdures ayant trait la protection des
donnes caractre personnel. Le label CNIL permet aux
entreprises de se distinguer par la qualit de leur service.
Pour les utilisateurs, cest un indicateur de confiance dans les

produits ou procdures labelliss, qui permet ainsi didentifier
et privilgier les organismes qui garantissent un haut niveau de
protection de leurs donnes personnelles.

Le CIL

Contrler
Les contrles
Le contrle a posteriori constitue un moyen privilgi

dintervention auprs des responsables de traitements de
donnes personnelles.
Il permet la CNIL d'apprhender la mise en uvre concrte de

la loi et les consquences du recours l'informatique dans
certains secteurs d'activit.

Les contrles
Les missions de contrle sinscrivent dans le cadre
d'un programme annuel adopt en sance plnire. Ce
programme est labor en fonction des thmes d'actualit et
des grandes problmatiques (actualit, nouvelles technologies) dont
la CNIL est saisie.
Les contrles peuvent galement tre dcids en rponse des

besoins ponctuels, dans le cadre de l'instruction de plaintes, ou
de demandes de conseil.

Les contrles
Pour contrler les applications informatiques, la CNIL peut :
accder tous les locaux professionnels,
demander communication de tout document ncessaire et
den prendre copie,
recueillir tout renseignement utile,
accder aux programmes informatiques et aux donnes.
Dans le cadre de ces contrles, la CNIL surveille la scurit des

systmes d'information en s'assurant que toutes les prcautions
sont prises pour empcher que les donnes ne soient dformes
ou communiques des personnes non-autorises.

Les contrles

Les rgles du jeu
Larticle 21 *de la loi prcise que les ministres, autorits
publiques, dirigeants dentreprises publiques ou prives,
responsables de groupements divers et plus gnralement les
dtenteurs ou utilisateurs de traitements ou de fichiers de
donnes caractre personnel ne peuvent sopposer laction de
la commission ou de ses membres et doivent au contraire prendre
toutes mesures utiles afin de faciliter sa tche.
*Les missions de contrle sont encadres par les articles 11-2- f et 44 de la loi
du 6 janvier 1978 modifie le 6 aot 2004, et par les articles 61 69 du dcret
du 20 octobre 2005 modifi par le dcret du 25 mars 2007.

Ce qui se passe avant un contrle de la CNIL
La dcision de procder une mission de contrle est prise

par le prsident de la CNIL, sur proposition du service des
contrles.
La dcision de prvenir, ou non, le responsable de traitement
vis par un contrle est prise en opportunit.
Il peut tre demand au responsable de traitement vis par
un contrle de communiquer pralablement des documents
(ex. : moyens informatiques utiliss, organisation gnrale de
lorganisme contrl).
La dcision du prsident de la CNIL est notifie au dbut du
contrle au responsable des lieux o se situe le ou les
traitements qui font lobjet des vrifications.
Ce qui se passe avant un contrle de la CNIL
Le procureur de la Rpublique territorialement comptent est
inform de la date, de lheure et de lobjet du contrle avant
que celui-ci ne dbute.
Lorsque le contrle est effectu la demande dun homologue
d'un Etat membre de l'Union europenne, la CNIL en informe
le responsable du traitement. Elle linforme que les
informations recueillies ou dtenues par la CNIL sont
susceptibles dtre communiques cette autorit.
Les agents de la CNIL participant aux contrles
sont habilits dans les conditions prvues larticle 19 de la loi.
Ils peuvent tre assists d'experts. Certains contrles
ncessitent des habilitations particulires, notamment pour les
fichiers couverts par le secret dfense.
Ce qui se passe pendant un contrle de la CNIL
Une mission de contrle vise prioritairement obtenir copie du
maximum dinformations, techniques et juridiques, pour apprcier
les conditions dans lesquelles sont mis en uvre des traitements
informatiques.
La dlgation de la CNIL peut demander communication de tous
documents ncessaires laccomplissement de sa mission, quel quen
soit le support, et en prendre copie.
Les contrleurs peuvent accder aux programmes informatiques et
aux donnes, et en demander la transcription pour les besoins du
contrle.
La dlgation peut demander copie de : contrats (ex.: contrats de
location de fichiers, contrats de sous-traitance
informatique), formulaires, dossiers papiers, bases de donnes, etc.
Un procs-verbal de fin de mission est tabli lissue du contrle,
pour prciser notamment la liste des documents dont une copie a t
effectue.
Ce qui se passe lorsque la CNIL est empche
de contrler
Si la CNIL n'a pu exercer son contrle normalement, larticle 51 de la
loi punit dun an demprisonnement et de 15 000
damende lentrave laction de la CNIL.
L'entrave l'action de la CNIL est ralise en cas de :
opposition lexercice des missions confies aux membres ou
agents habilits en application du dernier alina de larticle 19 de
la loi ;
refus de communiquer, dissimulation ou destruction des
renseignements et documents utiles la mission de contrle ;
communication d'informations non conformes au contenu des
enregistrements tel quil tait au moment o la demande de la
CNIL a t formule ou prsentation d'un contenu pas.
..directement accessible.
Ce qui se passe aprs un contrle de la CNIL
A lissue du contrle, la CNIL examine les documents dont une
copie aura t effectue pour apprcier les conditions de mise
en uvre des dispositions de la loi informatique et liberts.
Lorsque les constatations effectues nappellent pas
dobservations particulires, le contrle est cltur par un
courrier du prsident de la CNIL qui peut contenir des
recommandations (ex. : modification des dures de
conservation, des mesures de scurit, etc.).
Lorsque les manquements relevs sont srieux, le dossier est
transmis la formation contentieuse de la CNIL, qui peut
prononcer les sanctions prvues larticle 45 de la loi. Cette
transmission la formation contentieuse nest pas exclusive
dune dnonciation au Parquet (article 40 du code de procdure
pnale).
Les sanctions
A l'issue de missions de contrle ou de plaintes, la formation

restreinte de la CNIL, compose de 5 membres et d'un
Prsident distinct du Prsident de la CNIL,
peut prononcer diverses sanctions l'gard des responsables
de traitements qui ne respecteraient pas la loi.
Le montant des sanctions pcuniaires peut atteindre 300 000

euros. Ces sanctions pcuniaires peuvent tre rendues
publiques.


Chapitre 5 : Le CEPD et vous

LENCADREMENT JURIDICTIONNEL
DE LA CNIL

Lencadrement juridictionnel de la CNIL
1. Les plaintes
2. Les contrles
3. Les sanctions
4. Les voies de recours
34
Les plaintes
Principaux types de plaintes :
par la saisine de la Cnil ;
directement auprs du procureur de la Rpublique.
La saisine peut se faire sous toutes les formes
La Cnil invite les personnes la saisir par lettre simple

adresse par voie postale ou en ligne
35
Instruction des plaintes par la CNIL
Communication de lobjet de la plainte au responsable du
traitement incrimin
La Cnil peut dcider :

Damnager un dialogue avec le responsable du traitement
;
De procder un contrle sur pices ou sur place ;
De mettre en demeure les responsables ;
Douvrir une procdure de sanction ;
De dnoncer les faits au procureur de la Rpublique ;
De classer la plainte sans suite.
Le plaignant est tenu inform des suites
36
Les contrles
Formalisme et procdure
Dcision particulire
Vrifications sur tout type de traitement de 6h 21h,

locaux servant la mise en uvre du traitement,
usage professionnel, sauf parties affectes domicile
priv
la CNIL peut contrler distance
37
les contrles
Droit de communication
Tout document utile et accs aux programmes informatiques /
aux donnes
Rquisition, copie des donnes

Recueillir sur place ou sur rquisition tout renseignement
Transcription sur un document directement utilisable
Les contrles
Opposition, refus de communiquer :
Dlit dentrave laction de la CNIL (1 an

demprisonnement et 15 000 euros damende)
Informations non conformes, informations non

directement accessibles
39
Les sanctions
Avertissement et mise en demeure
Sanction pcuniaire :
jusqu 150000 ;
ritration: jusqu 300000 ou 5% CA.
Injonction de cesser le traitement ou retrait de

lautorisation
Publicit :
directe : avertissement ;
indirecte : publication dans les travaux et dlibrations
de la CNIL, confrence de presse annuelle, rapport
annuel dactivit, site internet.
40
Contrle et sanctions
Sanction pcuniaire Luttes contre la
Non respect des formalits
SOCIETE non publique de fraude la carte
pralables
2000 euros bancaire
Non respect des dispositions

de l'article L.34-5 du Code des
Sanction
postes et des
pcuniaire
PRISMA MEDIA communications Prospection
publique de 15000
lectroniques, dfaut
euros
d'information, non respect
d'une dure de conservation
Faille de scurit
Avertissement non Dfaut de scurit des impactant les
SOCIETE
public donnes donnes des clients
et des prospects

PERSONNE Avertissement non Collecte et Prospection
PHYSIQUE public traitement illicite politique
PERSONNE Avertissement non Collecte et Prospection
PHYSIQUE public traitement illicite politique
Donnes
incompatibles la
THEATRE NATIONAL Avertissement Prospection
finalit pour
DE BRETAGNE* public politique
lesquelles elles ont
t collectes
Donnes
inadquates, non Gestion des
Avertissement non
COMMUNE pertinentes et inscriptions
public
excessives, dfaut scolaires
d'information

Nom ou type Dcision Manquement
Date Thme
d'organisme adopte principal
Droit
Sanction
d'opposition,
pcuniaire Droit
27/11/2014 SPHERE dfaut de
publique de 3 d'opposition
coopration
000 euros
avec la CNIL
Dfaut de
SITE INTERNET
Avertissement confidentialit Fuite de
27/11/2014 D'INFORMATIO
non public et de scurit donnes
N
des donnes
Droit
SOCIETE DU d'opposition,
Droit
20/11/2014 SECTEUR DE Relaxe dfaut de
d'opposition
l'AUDIOVISUEL coopration
avec la CNIL
Dure de
conservation
ETABLISSEMENT Avertissement des donnes, Gestion des
25/09/2014
PUBLIC non public scurit et usagers
confidentialit
des donnes
CA
Inscriptions illicites et
CONSUM Absence de mise jour
maintien dinscription
ER des donnes, collecte
Avertissement au FICP malgr la
2014 FINANCE illicite, dfaut de scurit
public rgularisation de la
(CREDIT et de confidentialit des
situation -
AGRICOLE donnes
confidentialit
)
Absence de formalit
pralable, collecte
excessive des donnes,
07/08 ORANGE Avertissement
dfaut dinformation, Golocalisation
/2014 * public
dfaut de scurit des
donnes, dfaut de
coopration avec la CNIL
Absence de formalit
pralable, collecte
Sanction pcuniaire excessive des donnes,
22/07 LOC CAR
publique de 5 000 dfaut dinformation, Golocalisation
/2014 DREAM *
euros dfaut de scurit des
donnes, dfaut de
Dfaut dinformation, dfaut de
Sanction scurit et de confidentialit
PROVIDIS pcuniaire des donnes, absence de
014 Vidosurveillance
LOGISTIQUE publique de 5 dfinition de dure de
000 euros conservation, collecte excessive
de donnes
Publication des
Sanction
FEDERATION Dfaut d'information, dfaut de rsultats des
17/07/20 pcuniaire
FRANCAISE scurit et de confidentialit comptitions sur
14 publique de 3
DATHLETISLME des donnes le site internet de
000 euros
la fdration
Maintien
17/07/20
Banque Relaxe Mise jour des donnes dinscription au
14
FICP
17/07/20 Socit de
Relaxe Collecte excessive de donnes Vidosurveillance
14 restauration
Collecte de
Dfaut dinformation, dfaut de
donnes via un
26/06/20 REGIME Avertissement scurit et de confidentialit
site internet
14 COACH public des donnes, dfaut de
daccompagneme
nt de rgime

DHL
Dfaut de scurit et de
INTERNATIONA Avertissement
06/2014 confidentialit des donnes, dure Fuite de donnes
L EXPRESS public
de conservation excessive
FRANCE
droit dopposition
des personnes ce
Sanction
ASSOCIATION que les donnes
29/01/201 pcuniaire non respect du droit d'opposition
JURICOM ET professionnelles
4 publique de 10 des personnes
ASSOCIES * soient mises en
000 euros
ligne sur le site de
l'association
droit dopposition
Sanction dfaut de formalits pralables, non
ASSOCIATION d'une personne
29/01/201 pcuniaire respect du droit d'opposition des
FRANCAISE DES ce que son CV soit
4 publique de 1 personnes, dfaut de rponse aux
URBANISTES retir du site de
euro demandes de la CNIL
l'association
29/01/201 Avertissement non pertinence et caractre excessif

COMMERCE Fichier client - NIR
4 non public des donnes
Sanction
29/01/201 SOCIETE DE pcuniaire non non pertinence et caractre excessif
Vidosurveillance
4 TRANSPORT publique de 10 des donnes,dfaut d'information
000 euros
Les voies de recours
Recours devant le Conseil dtat des dcisions de la Cnil
Mesure faisant grief
Refus de rcpiss ou rcpiss avec rserves
Sanctions administratives
47

VIE PRIVE ET INTERNET

Vie prive et internet
1. Rseaux sociaux
2. Publicit cible
3. Dveloppement des
sites de notation

Les rseaux sociaux pour les entreprises
Les entreprises utilisent les rseaux sociaux pour communiquer,
des profils professionnels sont disponibles;
Nos donnes personnelles sont vendues pour des campagnes

publicitaires;
Les CRM amricains ont des liens directes avec Facebook et

twitter; votre fournisseur va visiter votre profil pour tre plus
performant; il ny a pas de cloisonnement entre la vie
professionnelle et la vie prive;

Jurisprudences rseaux sociaux et
salaris
En octobre 2006, Stphanie Gonier, ex salarie de Nissan, a t
poursuivie pour injure et diffamation par son ancien employeur
pour des propos tenus sur son blog visant raconter ce quelle
considre comme une mise au placard, aprs son retour de
cong parental, puis son licenciement et la mise en ligne de
courriers changs avec sa direction sur lesquels des noms
apparaissaient. Elle a t condamne pnalement et a t
dboute de ses demandes par le Conseil des Prudhommes.

salaris
En octobre 2007, Kevin Colvin, stagiaire l'Anglo Irish Bank, a
t remerci par son employeur suite lenvoi dun courriel
son suprieur afin de linformer dun "vnement familial"
lempchant de venir travailler alors que le lendemain ce
dernier a dcouvert sur son profil Facebook des photographies
du stagiaire dguis en fe lors dune soire dHalloween
arrose.

salaris
En novembre 2008, des employs de Michelin qui avaient
critiqu leur employeur sur le site de rseau social, Copains-
d'avant, ont t licenci pour avoir dit : Boulot de bagnard ,
exploitateur , "Production, production, mais fiche de paie
toujours pareil".

salaris
En dcembre 2008, trois salaries de la socit Alten ont
critiqu sur Facebook leur hirarchie et la direction des
ressources humaines. Une amie commune sur Facebook et
aussi employe de cette socit a communiqu leur
conversation la direction qui les a licenci pour incitation
la rbellion et dnigrement . Deux des salaries dAlten ont
port laffaire devant les prudhommes qui devrait rendre sa
dcision courant 2011.

salaris
En 2009, une candidate un poste chez Cisco qui avait twitt
ses doutes sur son futur job n'a pas t recrute.
- La mme anne, une utilisatrice de Facebook a t licencie

par son employeur suisse pour avoir post sur le rseau social
du contenu durant son cong maladie alors que celle-ci tait en
arrt maladie pour cause de migraine, l'obligeant rester dans
le noir et l'empchant de travailler sur cran.

salaris
Courant 2010, trois salaries de lassociation SOS Femmes en
Dordogne ont t licencies pour faute lourde par leur
employeur la suite de messages laisss sur leur mur
Facebook . Elles ont saisi le Conseil des prudhommes;
Lemployeur de son ct a aussi dpos une plainte pour
menaces de mort et incitation la haine auprs du Procureur
de la Rpublique de Prigueux.

salaris
sources legavox
Dans un arrt en date du 13 mai 2014, la Cour d'appel de

Rennes a condamn une ancienne salarie, qui plus de deux
ans aprs avoir t licencie et alors qu'un litige sur des droits
d'auteur l'opposait encore son employeur avait publi, sur le
rseau social Twitter, des propos injurieux l'encontre de celui-
ci (CA Rennes 13 mai 2014, n 12-07372).

salaris
La Cour d'appel de Lyon dans un arrt du 24 mars 2014, a
retenu comme tant fond sur une cause relle et srieuse
mais sans toutefois reconnatre la qualification de faute
grave le licenciement du salari, qui en n'activant pas les
critres de confidentialit de son compte Facebook a pris le
risque que ses propos, qu'il pensait privs soient accessibles
d'autres salaris de la socit eux mme titulaires d'un compte
Facebook . Les propos ainsi publis sont jugs peu flatteurs
pour l'entreprise par les juges qui considrent qu'ils ont excd
le droit la libert d'expression de leur auteur (CA Lyon 24 mars
2014 n 13-03463).

salaris
l'affaire de l' @EquipierQuick qui avait fait couler beaucoup
d'encre dans la presse courant 2013, en est une parfaite
illustration. Pour mmoire, il s'agissait d'un salari d'un
tablissement de restauration rapide de l'enseigne Quick, qui,
sous le pseudonyme @EquipierQuick, dplorait ses conditions
de travail sur Twitter. La socit Quick a trs rapidement eu
vent de ses tweets. Le salari a t licenci pour faute grave et
poursuivi pour diffamation par son employeur.

Les rseaux sociaux : risques
Risques
Eclatement des donnes
Invisibilit des donnes
Confidentialit des donnes
Usurpation des droits et vols didentit
Non conformit de la collecte et des traitements
Affaiblissement de la distinction entre vie prive et vie
professionnelle

Protection des donnes personnelles dans le monde:
Les rseaux sociaux contrls

Manquements constats :
outils de gestion du niveau de visibilit des donnes
difficilement accessibles
paramtres par dfaut ne sont pas suffisamment
protecteurs
mentions dinformations pas suffisamment visibles
mesures de protection des mineurs parfois inexistantes
dure de conservation non-dfinies ou excessives

Informations
destination des
jeunes utilisateurs
du web et rseaux
sociaux

Protection des donnes personnelles dans le monde:
Dveloppement des sites de notation
Dveloppement de sites internet portant sur la

notation de professionnels et notamment :
des mdecins, professeurs, avocats
Sites illgaux au regard de la rglementation

Informatique et liberts
La socit Servtel mise en demeure par la Cnil a cess

son activit, un autre site a ferm avant toute mise en
demeure

Atelier
Recherchez individuellement une jurisprudence franaise,

europenne ou amricaine sur lutilisation des rseaux sociaux.
Prsentez laffaire et la dcision.

Chapitre 3 : vie prive et internet

CONTRLEUR EUROPEN DE LA
PROTECTION DES DONNES

Contrleur europen de la protection des
donnes
Rle: veiller ce que les institutions et organes de l'UE respectent
le droit des citoyens la protection de leur vie prive lors du
traitement de donnes caractre personnel
Contrleur : Giovanni Buttarelli

Contrleur adjoint : Wojciech Wiewirowski
Cration : 2004
Sige : Bruxelles (Belgique)
Site web : Contrleur europen de la protection des donnes
Dans le cadre de leur travail, les institutions et organes de l'UE
Contrleur europen de la protection des
donnes
Dans le cadre de leur travail, les institutions et organes de l'UE
sont parfois amens traiter des informations caractre
personnel communiques par des citoyens sous forme
lectronique, crite ou visuelle. Par traitement, on entend la
collecte, l'enregistrement, le stockage, la recherche, la
transmission, le blocage ou l'effacement de donnes. Le
Contrleur europen de la protection des donnes (CEPD) est
charg de faire respecter les rgles strictes de protection de la
vie prive qui encadrent ces activits.
Comment fonctionne le CEPD?
Le contrleur et le contrleur adjoint sont nomms pour un

mandat de cinq ans renouvelable. L'activit courante du CEPD
s'appuie sur deux grands services:
l'entit Contrle et mise en application, qui vrifie si les
institutions et organes de l'UE respectent les rgles en
matire de protection des donnes;
l'entit Politique et consultation, qui conseille les

lgislateurs europens sur les questions de protection des
donnes dans diffrents domaines d'action et sur les
nouvelles propositions lgislatives.
Le CEPD et vous
Les institutions et organes de l'UE n'ont pas le droit de traiter

des donnes portant sur les informations personnelles
suivantes:
origine raciale ou ethnique;
opinions politiques;
convictions religieuses ou philosophiques;
affiliation des organisations syndicales.
Le CEPD et vous
Ils ne peuvent pas non plus traiter de donnes relatives

votre sant ou votre orientation sexuelle, sauf ncessit
mdicale. Cette tche doit alors tre confie un professionnel
de la sant ou une personne tenue au secret professionnel.
Si vous estimez qu'une institution ou un organe de l'UE

a enfreint votre droit au respect de la vie prive, parlez-
en d'abord aux personnes charges du traitement de vos
donnes au moment de l'infraction suppose.
Le CEPD et vous
Si l'issue ne vous convient pas, contactez le dlgu la
protection des donnes de l'institution ou organe incrimin.
Si vous n'obtenez toujours pas satisfaction, portez
plainte auprs du CEPD au moyen d'un formulaire de dpt de
plainte . Au terme de son enqute, le Contrleur europen de la
protection des donnes vous indiquera s'il partage votre avis et,
dans l'affirmative, quelles sont les mesures prises pour rectifier le
problme.
Si vous n'tes pas d'accord avec la dcision du CEPD, vous
pouvez introduire un recours devant la Cour de justice de l'Union
europenne.
Fin du module

LES MENTIONS LGALES LIS AUX
DONNES PERSONNELLES SUR LES
SITES WEB.

Objectifs

Objectif 1 : comprendre les obligations du responsable du site

internet.
Objectif 2 : la rglementation du nom de domaine .

Chapitre 1 : Les sites web et les

obligations de lditeur.
Chapitre 2 : La responsabilit lditeur

de contenus .
Chapitre 3 : Le nom de domaine.

Plan du chapitre

obligations de lditeur:
Les sites professionnels.
Les sites personnels.

LES SITES WEB ET LES OBLIGATIONS
DE LDITEUR.

Les sites professionnels
Les sites nont plus a tre dclar en tant que tel sauf si il y a
collecte de donnes personnelles.
Site professionnel avec collecte de donnes personnelle:

Les sites commerciaux de vente de biens ou de services,
La norme simplifie relative la gestion de fichiers de
clients et de prospects a t tendue lInternet.

Dispositions de la CNIL/les mentions
obligatoires
Elle permet aux responsables de traitement deffectuer une

dclaration simplifie, dans les conditions quelle prcise, pour les
traitements relatifs aux personnes avec lesquelles des relations
contractuelles sont noues, les clients, et les clients potentiels,
simples prospects, lexclusion de ceux mis en uvre par les
tablissements bancaires ou assimils, les entreprises
d'assurances, de sant et dducation.

Transfert hors UE
Dlibration n2005-276 du 17 novembre 2005
la norme lve linterdiction de transferts de donnes vers pays

non membres de lUnion europenne et naccordant pas une
protection suffisante pour des transferts courants et ne
prsentant pas de risques particuliers pour les droits et liberts
fondamentaux des personnes.

Exemple darticles de mentions lgales
dun site e-Commerce
Le responsable du site doit inclure certaines mentions pour
rpondre aux exigences de lobligation dinformation et droit
des personnes imposs par la loi informatique et libert.

Article 2 : Finalits des traitements
Le traitement peut avoir tout ou partie des finalits suivantes :
1 effectuer les oprations relatives la gestion des clients
concernant :
les contrats ;
les commandes ;
les livraisons ;
les factures ;
la comptabilit et en particulier la gestion des comptes clients ;
la gestion dun programme de fidlit lexclusion des
programmes communs plusieurs socits ;

Article 2 : Finalits des traitements
2 effectuer des oprations relatives la prospection :
constitution et gestion dun fichier de prospects (ce qui inclut

notamment les oprations techniques comme la normalisation,
lenrichissement et la dduplication) ;
la slection de clients pour raliser des actions de prospection
et de promotion ;
la cession, la location ou lchange du fichier de clients et de
prospects ;
llaboration de statistiques commerciales ;
lenvoi de sollicitations.

Article 3 : Donnes traites
Les donnes susceptibles dtre traites pour la ralisation des
finalits dcrites larticle 2 sont :
a. l'identit : nom, prnoms, adresse, numro de tlphone (fixe
ou mobile), numro de tlcopie, adresse de courrier
lectronique, date de naissance, code interne de traitement
permettant l'identification du client (ce code interne de
traitement est distinct du numro d'inscription au rpertoire
national d'identification des personnes physiques, du numro
de scurit sociale et du numro de carte bancaire);
b. les donnes relatives aux moyens de paiement : relev
d'identit postale ou bancaire, numro de la transaction,
numro de chque, numro de carte bancaire;
c. la situation familiale, conomique et financire : vie maritale,
nombre et ge du ou des enfant(s) au foyer, profession,
domaine d'activit, catgorie socio-professionnelle ;

Article 3 : Donnes traites
d. les donnes relatives la relation commerciale : demandes
de documentation, demandes dessai, produit achet, service
ou abonnement souscrit, quantit, montant, priodicit,
adresse de livraison, historique des achats, retour des
produits, origine de la vente (vendeur, reprsentant) ou de la
commande, correspondances avec le client et service aprs
vente ;
e. les donnes relatives aux rglements des factures : modalits

de rglements, remises consenties, informations relatives aux
crdits souscrits (montant et dure, nom de lorganisme
prteur), reus, impays, relances, soldes.

Article 5 : Les destinataires et les
personnes habilites traiter les donnes
Peuvent seuls, dans les limites de leurs attributions respectives, avoir
accs aux donnes caractre personnel:
les personnels chargs du service commercial et des services

administratifs ;
les suprieurs hirarchiques de ces personnels ;
les services chargs du contrle (commissaire aux comptes,

services chargs des procdures internes du contrle ...) .

les entreprises extrieures lies contractuellement pour
l'excution dun contrat. Ces personnes assurent la stricte
confidentialit des donnes caractre personnel en leur
possession.
Peuvent tre destinataires des donnes, dans les limites de

leurs attributions respectives .

les organismes publics, exclusivement pour rpondre aux
obligations lgales ;
les auxiliaires de justice et les officiers ministriels dans le cadre

de leur mission de recouvrement de crances ;
les organismes chargs deffectuer les recouvrements de

crances.

Article 6 : Dure de conservation
Les donnes caractre personnel relatives aux clients ne

peuvent tre conserves au-del de la dure strictement
ncessaire la gestion de la relation commerciale lexception
de celles ncessaires ltablissement de la preuve dun droit
ou dun contrat qui peuvent tre archives en loccurrence dix
ans.

Article 6 : Dure de conservation
Les donnes caractre personnel relatives aux prospects ne
peuvent tre conserves que pour la dure pendant laquelle
elles sont ncessaires la ralisation des oprations de
prospection. La Commission recommande que les donnes
collectes auprs de prospects soient supprimes au maximum
un an aprs le dernier contact de leur part ou lorsquils nont
pas rpondu deux sollicitations successives.

Article 7 : Information des personnes
concernes
Les personnes concernes sont informes, au moment de la
collecte de leurs donnes,
des finalits poursuivies,
de lidentit du responsable du traitement
du caractre obligatoire ou facultatif des rponses

apporter, des consquences ventuelles, leur gard,
dun dfaut de rponse,
des destinataires des donnes.

Article 7 : Information des personnes
concernes
de leurs droits daccs, de rectification et dopposition, pour
des motifs lgitimes, au traitement de leurs donnes sauf
dans les cas o le traitement rpond une obligation lgale
(dlibration n2005-276 du 17 novembre 2005) et,
le cas chant, des transferts de donnes caractre

personnel envisags destination dun tat non membre de
lUnion europenne.

Article 8 : Scurits
Le responsable du traitement prend toutes prcautions utiles
pour prserver la scurit des donnes vises larticle 3 et,
notamment, empcher quelles soient dformes,
endommages ou que des tiers non autoriss y aient accs.
Dans le cas de lutilisation dun service de communication au

public en ligne, le responsable de traitement prend les mesures
ncessaires pour se prmunir contre tout accs non autoris au
systme de traitement automatis de donnes.

Article 8 : Scurits
Lorsquun moyen de paiement distance est utilis, le
responsable de traitement doit prendre les mesures
organisationnelles et techniques appropries afin de prserver
la scurit, l'intgrit et la confidentialit des numros de
cartes bancaires contre tout accs, utilisation, dtournement,
communication ou modification non autoriss en recourant
des systmes de paiement scuriss conformes ltat de lart
et la rglementation applicable.

Article 9 : Transfert de donnes vers
ltranger
(dlibration n2005-276 du 17 novembre 2005)
Certains transferts de donnes caractre personnel peuvent tre

raliss vers des pays tiers lUnion europenne qui ne sont pas
membres de lEspace conomique europen et qui nont pas t
reconnus par une dcision de la Commission europenne comme
assurant un niveau de protection adquat, ds lors que :
le traitement garantit un niveau suffisant de protection de la vie

prive ainsi que des droits et liberts fondamentaux des
personnes
le responsable de traitement a clairement inform les personnes

de lexistence dun transfert de donnes vers des pays tiers
ltranger
Le responsable de traitement sengage, sur simple demande de la
personnes concerne, apporter une information complte sur :
la finalit du transfert,
les donnes transfres,
les destinataires exacts des informations et
les moyens mis en uvre pour encadrer ce transfert.

ltranger
Les donnes caractre personnel susceptibles de faire lobjet
dun transfert vers certains pays situs en dehors de lUnion
europenne sont celles prvues larticle 3 uniquement dans le
cadre :
de la gestion dun fichier client ;
de la gestion doprations de prospection commerciale

ralises par un sous-traitant tabli dans un pays tiers.

Le site professionnel sans collecte
dinformations caractre personnel
L diteur du site professionnel doit :
Permettre lidentification des personnes responsables du
site
diteur
hbergeur
Pouvoir protger les informations contenues sur son site,
Indiquer la prsence de cookies,
Prvoir des conditions gnrales de vente dans le cas
gnral de vente.

Sites personnels
Les sites personnels ou blogs
Si vous tes un particulier et que votre site web diffuse ou
collecte des donnes caractre personnel dans le cadre dune
activit exclusivement personnelle, vous tes dispens de
dclaration
LA CNIL Recommande :
En ce qui concerne la diffusion au public, partir dun site web,
de donnes caractre personnel,
La Commission rappelle que la diffusion de donnes caractre
personnel (nom, photographie, etc.) est soumise au
consentement pralable des personnes auxquelles elles se
rapportent. La diffusion de donnes caractre personnel
relatives des mineurs, et notamment leur image, ne peut
seffectuer quavec leur accord et lautorisation expresse des
parents ou du responsable lgal.
Sites personnels
Les personnes dont les donnes sont susceptibles dtre
diffuses doivent avoir t pralablement informes:
de lidentit du responsable du traitement, savoir de la
personne souhaitant procder la diffusion ;
de la finalit poursuivie, savoir de leur diffusion sur
Internet, des consquences dune telle diffusion et de lobjet
du site procdant cette diffusion ;
de lexistence dun droit daccs, de rectification et
dopposition.
Cette information nest pas requise lorsque les donnes
concernes ont t rendues publiques par la personne
concerne.

Les limites
Les personnes dont les donnes caractre personnel sont
traites peuvent sopposer tout moment la diffusion des
donnes les concernant.
Les sites web personnels ne peuvent diffuser des donnes

caractre personnel relatives aux infractions, condamnations et
mesures de sret concernant des tiers.
Au regard des risques de captation et de rutilisation des

donnes qui sont diffuses sur le rseau Internet, la
Commission recommande que les donnes qui font apparatre,
directement ou indirectement, les origines raciales ou
ethniques, les opinions politiques, philosophiques ou
religieuses ou lappartenance syndicale des personnes, ou qui
sont relatives la sant ou la vie sexuelle ne soient pas
diffuses partir dun site web personnel.
Les limites
Lorsque les sites ont vocation ntre consults que par un
nombre limit de personnes (sites exclusivement destins au
cercle familial ou aux proches), la Commission recommande
que les donnes diffuses ne soient accessibles quaux seules
personnes identifies par le responsable du site web.

En ce qui concerne la collecte de donnes
caractre personnel partir dun site web
Les sites web mis en uvre par des particuliers peuvent

conduire ceux-ci recueillir des informations sur les personnes
qui sy connectent (nom, adresse lectronique, etc.).
La Commission rappelle que les personnes auprs desquelles

sont recueillies ces informations doivent tre informes:
de la finalit de cette collecte,
des destinataires ou catgories de destinataires des
donnes et
de lexistence dun droit daccs, de rectification et
dopposition.

En ce qui concerne la collecte de donnes
caractre personnel partir dun site web
Les donnes collectes ne peuvent tre conserves que pour

une dure limite, en relation avec lobjet du site.
La transmission des tiers, par le responsable du site, des

donnes collectes ne peut seffectuer que dans le cadre
dactivits prives, aprs que la personne concerne en a t
informe et a t mise en mesure de sy opposer.

La charge des formalits
Les dclarations concernant certains sites Internet sont en
principe la charge de lauteur mais elles peuvent tre
dlgues au prestataire dhbergement,
Le contrat dhbergement peut prvoir que les dclarations

soient ralises par lhbergeur surtout si il gre des
informations sur les clients ( paiement en ligne), dans ce cas il
est plus inform que lditeur.


Chapitre 2 : La responsabilit
lditeur de contenus.

LA RESPONSABILIT DU
FOURNISSEURS DE CONTENUS

Les obligations relatives au site web
Responsabilit des fournisseurs de contenu

Quelle est la responsabilit du fournisseur ?
La responsabilit quant au contenu du site sera tudie en

dtaille dans le module sur les liberts et Internet,
A savoir que la responsabilit nest pas retenu dans le cas de

bonne foi malgr lobligation de surveillance des hbergeurs et
diteurs ( forums).

Atelier cration administrative virtuelle dun
site personnel ou professionnel ( 1h30 maximum)
Vous crer et vendez des sites e-commerce avec collecte de

donnes clefs en main , vos clients vous demandent de les
livrer conforme la rglementation ;
1 De Quelles informations avez-vous besoin pour que le site
soit conforme ?
2 Rdigez les mentions attestant le respect des obligations
lgales :
Droit dinformation,
Transfert des donnes.



Chapitre 2 : La responsabilit
lditeur de contenus.

L'uvre multimdia
LE NOM DE DOMAINE

Le nom de domaine
Plan de la partie
Voici les chapitres que nous allons aborder :
Dfinition du nom de domaine.
Acquisition du nom de domaine.
Contentieux du nom de domaine.

Dfinition du nom de domaine
Dfinition: terme alphanumrique compos dun radical

et dune extension qui correspond a une adresse IP.

Le nom de domaine
Acquisition du nom domaine
Principe
Principe dacquisition et de protection proche de
celui des marques,
Enregistrement auprs de ICANN (international) et

AFNIC ( national),
Premier arriv, premier servi mme si il sagit dun

site non utilis le nom nest plus disponible.

Rglementation du nom de domaine
Rglementation juridique du choix des noms de domaine des

sites internet par un dcret du 01.08.2011.

Le choix du nom de domaine est libre.
Concrtement, il est compos du nom du site internet (ex :
"cabinetbem") et dune extension spare par un point (ex: ".com"
ou ".fr").
Outre la question du rfrencement des sites internet, les noms

de domaines permettent de protger une marque commerciale et
la raison sociale d'une entreprise sur Internet, de sorte que l'achat
d'un nom de domaine est fondamental.
Ainsi, ils peuvent donner lieu des conflits lorsque lune des
parties en revendique la proprit.
EX oceanet.fr
La page web ocanet.fr
Par dcision de justice le nom de domaine oceanet.fr a t mis
disposition des 2 entreprises qui revendiquaient; elles se
partagent donc la mme page;

Limite au dpt du nom de domaine
La loi n 2011-302 du 22 mars 2011, portant diverses
dispositions d'adaptation de la lgislation au droit de l'Union
europenne en matire de sant, de travail et de
communications lectroniques, a instaur un nouvel article
L45.2 au Code des postes et des communications lectroniques
qui dispose que :

Limite au nom de domaine
Dans le respect des principes rappels l'article L. 45-1,
l'enregistrement ou le renouvellement des noms de domaine
peut tre refus ou le nom de domaine supprim lorsque le nom
de domaine est :
1 Susceptible de porter atteinte l'ordre public ou aux

bonnes murs ou des droits garantis par la Constitution
ou par la loi ;
2 Susceptible de porter atteinte des droits de proprit

intellectuelle ou de la personnalit, sauf si le demandeur
justifie d'un intrt lgitime et agit de bonne foi .

3 Identique ou apparent celui de la Rpublique
franaise, d'une collectivit territoriale ou d'un groupement
de collectivits territoriales ou d'une institution ou service
public national ou local, sauf si le demandeur justifie d'un
intrt lgitime et agit de bonne foi .

Refus denregistrement
Un dcret en Conseil d'Etat devait fixer les rgles d'attribution
de chaque office d'enregistrement et dfinir les lments
permettant d'tablir un usage de mauvaise foi et l'absence
d'intrt lgitime.
Ainsi, le refus d'enregistrement ou de renouvellement ou la

suppression du nom de domaine pourront intervenir, pour l'un
des motifs prvus au prsent article, aprs que l'office
d'enregistrement a mis le demandeur en mesure de prsenter
ses observations et, le cas chant, de rgulariser sa situation.

Reference : le dcret dapplication
Le dcret d'application n 2011-926, relatif la gestion des
noms de domaines de premier niveau de linternet
correspondant aux codes pays du territoire national, a t
publi 1er aot 2011.

Reference : le dcret dapplication
un intrt lgitime
Il prvoit un nouvel article R. 20-44-43 au Code des postes et
des communications lectroniques qui dispose que :
Peut notamment caractriser l'existence d'un intrt

lgitime , pour l'application du 2 et du 3 de l'article L.
45-2, le fait, pour le demandeur ou le titulaire d'un nom de
domaine :
d'utiliser ce nom de domaine, ou un nom identique ou

apparent, dans le cadre d'une offre de biens ou de services,
ou de pouvoir dmontrer qu'il s'y est prpar.

d'tre connu sous un nom identique ou apparent ce nom
de domaine, mme en l'absence de droits reconnus sur ce
nom ;
de faire un usage non commercial du nom de domaine ou

d'un nom apparent sans intention de tromper le
consommateur ou de nuire la rputation d'un nom sur
lequel est reconnu ou tabli un droit.

La mauvaise fois
Peut notamment caractriser la mauvaise foi , pour
l'application des 2 et 3 de l'article L. 45-2, le fait, pour le
demandeur ou le titulaire d'un nom de domaine :
d'avoir obtenu ou demand l'enregistrement de ce nom

principalement en vue de le vendre, de le louer ou de le
transfrer de quelque manire que ce soit un organisme
public, une collectivit locale ou au titulaire d'un nom
identique ou apparent sur lequel un droit est reconnu et
non pour l'exploiter effectivement.

Mauvaise fois
D'avoir obtenu ou demand l'enregistrement d'un nom de
domaine principalement dans le but de nuire la rputation du
titulaire d'un intrt lgitime ou d'un droit reconnu sur ce nom
ou sur un nom apparent, ou celle d'un produit ou service
assimil ce nom dans l'esprit du consommateur.
d'avoir obtenu ou demand l'enregistrement d'un nom de

domaine principalement dans le but de profiter de la renomme
du titulaire d'un intrt lgitime ou d'un droit reconnu sur ce
nom ou sur un nom apparent, ou de celle d'un produit ou
service assimil ce nom, en crant une confusion dans l'esprit
du consommateur.

Atelier
Trouvez des exemples de contentieux de nom de domaine :
dpts interdits ou refuss,
nom de domaine rcupr par le propritaire de bonne fois,
utilisation ou usurpation dun nom de domaine .

Le nom de domaine
Contentieux du nom de domaine

Le principe de protection des noms de domaine utilis par la
jurisprudence est celui des marques:
Article L713-1
L'enregistrement de la marque confre son titulaire un
droit de proprit sur cette marque pour les produits et
services qu'il a dsigns.

Interdictions dutiliser la marque
dpose
Article L713-2
Sont interdits, sauf autorisation du propritaire :
a. La reproduction, l'usage ou l'apposition d'une marque, mme

avec l'adjonction de mots tels que : "formule, faon, systme,
imitation, genre, mthode", ainsi que l'usage d'une marque
reproduite, pour des produits ou services identiques ceux
dsigns dans l'enregistrement ;
b. La suppression ou la modification d'une marque

rgulirement appose.

Rgime de protection de la marque
Article L713-3
Sont interdits, sauf autorisation du propritaire, s'il peut en
rsulter un risque de confusion dans l'esprit du public :
a. La reproduction, l'usage ou l'apposition d'une marque,

ainsi que l'usage d'une marque reproduite, pour des
produits ou services similaires ceux dsigns dans
l'enregistrement ;
b. L'imitation d'une marque et l'usage d'une marque

imite, pour des produits ou services identiques ou
similaires ceux dsigns dans l'enregistrement.

La protection de la marque:
Cas 1 lenregistrement de la marque est
antrieur celui du nom
En France le dpt dune marque confre un droit de proprit au
dposant .
ex il apparat quen connaissance de cause, la socit ICARE a cru
pouvoir dposer le nom de domaine ATLENTEL.COM directement
auprs de lINTERNIC aux Etats-Unis , au mpris de la lgislation
franaise sur les marques; il convient donc de condamner la
socit ICARE, sous astreinte faire retirer le nom de domaine
ATLENTEL.COM du rseau Internet en France et dans le monde
entier
TGI BORDEAUX 22 JUILLET 1996

Cas dutilisation du nom sans contrefaon
Affaire jeboycottedanone.com
Dans ce cas lutilisation du nom de domaine na pas t considr

comme une contrefaon de la marque DANONE car elle ninduisait
pas le risque de confusion dans lesprit du public. En revanche les
juges ont refuss lexistence d une libert graphique et ont par
consquent refus dappliquer lexception de parodie au droit des
marques. Ils ont retenu la contrefaon du logo.
TGI PARIS 4 JUILLET 2001

Cas n2 lenregistrement du nom du
domaine est antrieur celui de la marque
Le nom de domaine exclut le dpt de la marque
Ex annulation du dpt de la marque OCEANET ,dpos deux ans

aprs lenregistrement du nom du domaine
oceanet.fr ,considrant que lutilisation de ce nom de domaine
constituait un droit antrieur au dpt de la marque.
TGI 29 JUIN 1999

Principe de spcialit
Limites la protection du nom de domaine/ principe de
spcialit
Le nom de domaine peut tre utilis dans dautres secteurs

dactivit, le juge recherche si il y a risque de confusion pour
le public
Ex dans le dpt du nom celio.com le juge a retenu

lusurpation du nom de la marque Clio mais pas la
contrefaon. TGI PARIS 19 OCT 1999

Principe de territorialit
Limites la protection du nom de domaine / principe de
territorialit
La protection accorde la marque est limite au pays ou

elle a t enregistre. Les dposant doivent renouveler les
formalits dans tous les pays ou ils souhaitent que leur
marque soit protge.

Le cyber squatting
Le principe du premier arriv premier servi a permis
lactivit de cybersquatteurs de se developper. Certains se sont
spcialiss dans le dpt de noms de domaines de marques et
logos..
Objectif revendre le nom a prix dor :le titulaire de la marque

doit racheter le nom de domaine pour lutiliser ,les prix varient
entre 5000 et 20 000 dollars. les ventes sont parfois
hallucinantes Yahoo! Ou bien encore business.com revendu 7.5
millions de dollars!

La lutte contre le cybersquatting
Adoption aux tats unis de APCA qui offre la possibilit de faire

supprimer ou dplacer une adresse usurpe dans le cas de
mauvaise fois du cybersquatteur;
LOMPI cre une exception pour les marques notoirement

connues et clbres qui a pour effet dinterdire le dpt du
nom par un autre que le titulaire de la marque.

Atelier
Trouvez le top 10 des ventes de noms de domaines

En FRANCE EUROPE et ETATS UNIS.
Trouvez des exemples de contentieux de cybersquatting

En FRANCE EUROPE et ETATS UNIS.


Fin du module

LES DONNES PERSONNELLES ET
ECOMMERCE.

Objectifs
Objectif 1 : Comprendre les limites lutilisation des donnes

personnelles dans le cadre du e-commerce et e-marketing.

Chapitre 1 : La prospection
postale et tlphonique.
Chapitre 2 : Les achats en ligne.
Chapitre 3 : Parrainage
et jeux concours.

Botblog,com
LA PROSPECTION POSTALE ET
TLPHONIQUE

La prospection postale et tlphonique
Reues au domicile des particuliers par courrier postal ou par
tlphone, les sollicitations commerciales deviennent parfois
envahissantes au point que les destinataires peuvent souhaiter les
limiter, voire les faire cesser. Si la prospection permet aux
entreprises de dvelopper et de fidliser leur clientle, et aux
particuliers dtre informs dventuelles offres promotionnelles
ou nouveauts, ces pratiques ne doivent pas devenir du
harclement.

Pourquoi reoit-on de la publicit ?
Les publicits sont envoyes aux particuliers parce que leurs
coordonnes figurent dans des bases de donnes.
Il peut sagir, bien-sr, des fichiers-clients ou prospects constitus

par les magasins ou les socits commerciales, mais aussi des
fichiers des associations humanitaires, des fournisseurs dnergie
ou de services, ainsi que des annuaires des oprateurs de
tlphonie, etc.

Des coordonnes utilises mais non
collectes
Leurs coordonnes ne sont pas ncessairement enregistres dans
les fichiers de lorganisme qui a envoy une publicit.
Dans la plupart des cas, ces socits ou ces associations qui

prospectent ne connaissent ni lidentit ni ladresse des personnes
sollicites. Ces organismes nenregistreront les coordonnes de
ces personnes que si elles rpondent leur offre commerciale ou
leur demande de don. En effet, les organismes peuvent
changer, louer ou vendre les coordonnes enregistres dans leurs
fichiers.

Cession du fichier de la poste
Ainsi, La Poste cde son fichier des nouveaux emmnags des
partenaires commerciaux. Les usagers peuvent, au moment de
leur changement dadresse, sopposer cette transmission de
leurs nouvelles coordonnes : une case cocher est prvue cet
effet sur les formulaires de souscription.
Si la case na pas t coche, il est toujours possible dinformer La

Poste de son opposition en lui crivant ou en se rendant dans un
bureau de poste.

Des fichiers cibls
En outre, des socits spcialises compilent lensemble des
donnes, quelles reoivent, parfois avec dautres donnes (par
exemple le prix du m2 dun quartier), afin de proposer dautres
organismes des fichiers cibls (par exemple, un fichier
comportant les coordonnes dhommes abonns des magazines
sportifs gs de moins de 35 ans habitant le deuxime
arrondissement de Lyon).

Absence de fichier central de
consommateurs
Il nexiste pas, en France, de fichier central de consommateurs

recensant les coordonnes et profils dachats des consommateurs,
dans lequel les socits ou associations pourraient faire leur
march .

Les utilisations exclure
Il est interdit de solliciter une personne en collectant ses
coordonnes sur sa bote aux lettres ou parce quelles
apparaissent sur des annonces diverses. En effet, il est
indispensable que chacun ait la matrise de ses coordonnes et
que celles-ci soient utilises en toute transparence.

Quelles garanties ?
Les particuliers ont le droit de sopposer tre dmarchs par

courrier ou par tlphone. Ils peuvent galement sopposer la
cession de leurs coordonnes dautres socits commerciales.
Cette opposition est gratuite, na pas tre motive et peut
intervenir tout moment, y-compris lors de la collecte des
donnes.
Cette opposition doit tre faite auprs des diffrentes socits

avec lesquelles ils sont en relation ou, de manire plus gnrale,
en sinscrivant sur des listes dopposition :

Listes dopposition
Les listes tenues par les oprateurs de tlphonie
La liste rouge:
Labonn demande son oprateur de ne pas transmettre son
numro de tlphone aux diffrents diteurs dannuaires.

Listes dopposition :La diffusion dans les
annuaires
En matire de tlphonie fixe :la diffusion dans les annuaires est
automatique, sauf opposition de labonn.
Si le titulaire dun numro de tlphone fixe a omis de sinscrire

sur la liste rouge au moment de son abonnement, il peut le faire
tout moment auprs de son oprateur.

Listes dopposition
En matire de tlphonie mobile :il faut demander la parution de
son numro dans les annuaires.
La suppression de la diffusion de ses coordonnes dans les

annuaires en ligne :elle est trs rapide mais il faut attendre la
rdition des annuaires papier pour en tre supprim.

La liste anti-prospection
Labonn demande son oprateur dindiquer dans lannuaire, par
un logo, quil ne souhaite pas tre dmarch.
La liste Robinson / Stop Publicit

Cette liste tenue par lUnion Franaise du Marketing direct (UFMD)
recense les personnes qui ne souhaitent pas recevoir de courriers
publicitaires par voie postale.

LUFMD la transmet ses nombreux adhrents qui se sont
engags respecter lopposition des consommateurs recevoir
de la publicit.
Pour sinscrire : Union franaise du marketing direct

Service Liste Robinson Stop publicit
60, rue La Botie
75008 Paris

La liste Pacitel
Cette liste est tenue par lassociation Pacitel. Les socits
adhrentes cette association se sont engages ne plus solliciter
les numros fixes et mobiles inscrits sils ne sont pas dans leur
base clients. Il est galement possible de signaler les appels
indsirables ou abusifs.
Pour sinscrire : www.pacitel.fr

Linformation des consommateurs
La socit cratrice ou utilisatrice de la base de donnes doit

informer les intresss dune ventuelle utilisation commerciale
de leurs coordonnes par elle-mme ou par des partenaires
commerciaux. Elle doit galement leur permettre de sopposer
une telle utilisation ds la collecte de ces informations.

Cette information doit figurer sur les contrats, les formulaires
dabonnement, une affiche en magasin, etc. Lapposition dune
case cocher permet de sopposer facilement la rutilisation
commerciale de son adresse ou de son numro de tlphone.
Une seconde case permet, de sopposer la transmission de ses

coordonnes des partenaires commerciaux.

Quelles formalits CNIL ?
Un fichier de clients utilis des fins de prospection peut faire

lobjet dune dclaration de conformit la norme n48
(dclaration simplifie). Les dispositifs qui nentrent pas dans le
cadre de cette norme doivent faire lobjet dune dclaration
normale.

Le registre du CIL
Si la socit qui a cr le fichier a dsign un Correspondant

Informatique et Liberts (CIL), celui-ci doit seulement noter le
dispositif dans son registre.

Quels recours ?
Si, dans un dlai de deux mois aprs la demande, la socit ne

prend pas en considration le droit dopposition des personnes, un
recours est possible auprs :
du service des plaintes de la CNIL,
du procureur de la Rpublique.

Textes de rfrence
Le code civil :
Article 9 (protection de lintimit de la vie prive).
Le code pnal :
Article 222-16 (harclement tlphonique).
Articles 226-1 et suivants (protection de la vie prive).
Articles 226-16 et suivants (atteintes aux droits des
personnes rsultant des traitements informatiques).
La loi du 6 janvier 1978
Dlibration de la CNIL :
Norme simplifie n 48


et jeux concours.

LES ACHATS EN LIGNE

Les achats en ligne
Nous effectuons de plus en plus dachats en ligne notamment par
carte bancaire. Les sites marchands, frquemment confronts la
fraude, cherchent sen prmunir en demandant des justificatifs
aux internautes. Comment acheter en ligne en toute scurit ?
Jusquo aller dans la communication de justificatifs?

Quelles informations ncessaires pour
acheter en ligne ?
Pour permettre lachat de biens en ligne, un commerant peut
demander ses clients un certain nombre dinformations
permettant la fois dassurer la scurit de la transaction et
denrichir sa connaissance de ses clients.
Si certaines informations sont obligatoires la cration dun

compte client (comme les coordonnes pour les livraisons),
dautres sont facultatives (cest souvent le cas de la date de
naissance).
La rception de publicits est galement facultative : aucun achat

ne peut tre conditionn lacceptation de recevoir une
newsletter ou des sollicitations commerciales.

Les prcautions prendre lors dun achat en
ligne:
Les pages sur lesquelles un client effectue une transaction

(coordonnes, paiement en ligne) doivent utiliser une connexion
scurise. Cela se traduit par une adresse qui commence par
https :// et par la prsence dune icne reprsentant un cadenas
verrouill dans la fentre du navigateur.

Conseil
Les plaintes reues par la CNIL montrent quil est important de ne

pas laisser un mineur effectuer seul un achat en ligne.
Attention aux coordonnes bancaires dj enregistr;

ex : En enfant acheter un avion sur le net .

Numro de carte bancaire :
les utilisations exclure
Le numro de carte bancaire ainsi que le cryptogramme visuel
doivent tre saisis par le client internaute pour raliser la
transaction. Cependant, le site marchand doit faire une utilisation
trs limite de ces informations.
Une fois le paiement effectu, le commerant ne peut ni conserver

ni rutiliser les coordonnes bancaires de son client sans son
consentement.

Une conservation en base
Une Archive est nanmoins permise pendant 15 mois, dlai de

contestation du titulaire de la carte. Le cryptogramme visuel ne
doit pas tre conserv.

Les contrles de la CNIL
La CNIL a adress avertissement public une socit de-

commerce qui avait conserv les numros des cartes bancaires
de ses clients sans leur consentement.

Comment se protger lors dun achat
en ligne ?
Les usurpations didentit et les utilisations frauduleuses
de cartes bancaires sont plus frquentes dans le commerce en
ligne (il nest en effet pas ncessaire de saisir le code de sa carte
comme dans un commerce physique).
Le commerant doit donc se prmunir contre ces fraudes, autant

dans son intrt que dans celui de ses clients.
En effet, en cas de contestation par le titulaire de la carte dans un

dlai de 15 mois aprs la transaction, le commerant se verra
retirer par sa banque le montant quil avait peru.

3D Secure
Le commerant peut utiliser un systme appel 3D Secure de

Visa et Mastercard : lorsque linternaute renseigne les
informations de sa carte bancaire, il doit galement fournir un
code usage unique qui lui est adress par sa banque par sms sur
son tlphone mobile (la banque ayant auparavant demand ce
numro son client pour cette action).
dfaut de renseigner ce code, la transaction ne pourra pas

seffectuer.

Exemple de redirection avec 3d scure

La garantie de paiement:
Le commerant peut sinon faire appel un prestataire de service

qui lui garantira ou non le paiement des transactions.
partir dlments statistiques (par exemple, le montant moyen

du panier sur le site) et sur la base des lments figurant sur le
bon de commande de linternaute (date et heure, montant, type
de produit, adresse, etc.), le prestataire va dfinir un niveau de
risque acceptable ou non par le commerant.

La garantie de paiement:
Si la transaction est considre comme non risque le paiement et

la livraison seffectueront normalement et en cas de contestation
ultrieure le prestataire remboursera le commerant.
En revanche, si la transaction est considre risque par le

prestataire, le commerant peut demander des justificatifs
linternaute. dfaut de prsenter ces justificatifs, le
commerant peut annuler la commande. Ces justificatifs peuvent
tre demands avant ou aprs le paiement en ligne.

Quelles garanties ?
Le commerant, pour sassurer de lidentit du dtenteur de la

carte bancaire, peut demander un justificatif didentit et / ou de
domicile. En revanche, il ne peut pas demander un relev de
compte ou une photocopie de la carte vitale ou du RIB.
Seuls les services du commerant en charge du paiement ou de la

lutte contre la fraude doivent avoir accs ces documents. Ils ne
peuvent les utiliser dautres fins ni les conserver au-del de six
mois.

Quelles garanties ?
Pour viter que des personnes non autorises accdent ces

informations, le site doit prendre toutes les mesures de scurit
utiles (page scurise du compte client pour lenvoi des pices
jointes).

Quelles garanties ?
Ne jamais envoyer une photocopie de sa carte bancaire !
Lenvoi du seul recto de la pice didentit suffit contrler

lidentit.
Les photocopies en noir et blanc permettent dviter les

utilisations frauduleuses.

La conservation des donnes figurant sur la carte bancaire, afin de

faciliter les achats futurs, est soumise au recueil du consentement
de son titulaire. Une case cocher, non pr-coche, est un bon
moyen de recueillir ce consentement. Lacceptation des conditions
gnrales dutilisation du site ne suffit pas.
Si un dispositif de contrle (demande de pices justificatives) est

mis en place, il doit tre mentionn dans les conditions gnrales
dutilisation du site ainsi que lors de chaque acte dachat. Les
internautes doivent galement tre informs de leurs droits :

Un fichier de clients dun site de-commerce peut faire lobjet

dune dclaration de conformit la norme n48 (dclaration
simplifie). Les dispositifs qui nentrent pas dans le cadre de cette
norme doivent faire lobjet dune dclaration normale ou dans
certains cas, dune demande dautorisation (lutte contre la fraude).
Contact CNIL
Pour plus dinformations, contactez la permanence juridique de la CNIL au 01
53 73 22 22. Vous pouvez galement adresser une plainte ou une demande de
conseil la CNIL par courrier postal (CNIL, 8 rue Vivienne, CS 30223 - 75083
Paris cedex 02).

Exemple de formulation
Afin doptimiser la scurit des paiements, nous procdons des

demandes de justificatifs complmentaires dont les seuls
destinataires sont XXX.
En cas de dfaut de rponse, nous nous rservons la possibilit

dannuler la commande.
Vous disposez dun droit daccs et de rectification auprs de XXX

Un fichier de clients dun site de-commerce peut faire lobjet

dune dclaration de conformit la norme n48 (dclaration
simplifie). Les dispositifs qui nentrent pas dans le cadre de cette
norme doivent faire lobjet dune dclaration normale ou dans
certains cas, dune demande dautorisation (lutte contre la fraude).

Registre du CIL
Si la socit qui a cr le fichier a dsign un Correspondant

Informatique et Liberts (CIL), celui-ci doit seulement noter le
dispositif dans son registre.

Quels recours ?
Le service des plaintes de la CNIL, (la CNIL nest pas comptente

en cas de dfaut de livraison),
Le procureur de la Rpublique,
La direction dpartementale de la concurrence, de la

consommation et de la rpression des fraudes (DDCCRF).

Textes de rfrence
Le code montaire et financier :

Article L133-24(dlai de contestation dun paiement).
Le code pnal :
Articles 226-1et suivants (protection de la vie prive).
Articles 226-16et suivants (atteintes aux droits des personnes
rsultant des traitements informatiques).


et jeux concours.

Ex kjs services
PARRAINAGE
ET JEUX CONCOURS

Intro
Pour recruter de nouveaux prospects et fidliser leurs clients, les
professionnels proposent rgulirement des oprations de
parrainage et organisent des jeux concours. Ces pratiques sont
possibles sous rserve de respecter diffrentes rgles.

Le parrainage
Comment a fonctionne ?
Les oprations de parrainage consistent demander une

personne de renseigner les coordonnes dun tiers (proches ou
contacts) susceptible dtre intress par une offre commerciale,
un article de presse ou une annonce en ligne par exemple.

Quelles sont les rgles ?
Le destinataire du message doit tre inform de lidentit de son

parrain lorsquil est contact par lentreprise.
Les donnes du parrain ne peuvent tre utilises quune seule

fois : pour lui adresser loffre commerciale, larticle de presse ou
lannonce suggr par le parrain.
Lentreprise ne pourra conserver les donnes du parrain pour lui

adresser dautres messages que si elle a obtenu son
consentement exprs.

M. X nous a communiqu vos coordonnes. Grce lui, vous

pouvez bnficier dune offre exceptionnelle : Message
commercial .
Si vous souhaitez recevoir de nouveaux messages de notre part sur
nos produits et services, merci de cocher cette case Pour recevoir
des messages de nos partenaires, cocher cette case .

Les jeux concours
Comment a fonctionne ?
Lorganisation de jeux concours permet la fois de divertir les

participants, tout en promouvant une marque ou un produit.
Cest une pratique courante utilise par les entreprises qui
souhaitent attirer de nouveaux prospects.

Ex jeux concours

Quelles sont les rgles ?
Linternaute doit pouvoir participer un jeu concours sans tre
oblig de recevoir de la prospection.
Les informations recueillies concernant le joueur ne peuvent tre

utilises que dans le cadre du jeu et la remise du lot.
Les coordonnes lectroniques du participant ne peuvent pas

tre utilises des fins publicitaires, sauf consentement exprs
de sa part.

formalits
Le responsable du fichier doit reproduire les mentions
informatiques et liberts sur le formulaire de participation
au jeu-concours et remettre au participant le rglement du jeu
concours dans lequel figurera une rubrique vie prive .
Le consentement pralable doit tre recueilli par un moyen

simple et gratuit, comme une case cocher par exemple. Pour
que le consentement soit valide, la case ne doit pas tre pr-
coche

Attention !
Le recueil du consentement ne peut tre dilu dans

lacceptation des conditions gnrales.

Les coordonnes du parrain ne doivent pas tre conserves
lissue de lopration de parrainage, sauf consentement exprs
de sa part.
Il ne faut pas conditionner la participation un jeu concours,

lobtention de chances supplmentaires et, de manire gnrale,
la fourniture dun service, la rception de messages
publicitaires.

Formulations
Ce quil ne faut pas faire

Jaccepte de participer au jeu concours et de recevoir des offres
par ml de la part de la socit Y.
Ce quil faut faire

Jaccepte les conditions du jeu concours.
Jaccepte de recevoir des offres commerciales de la socit Y.

Quelles garanties ?
Des destinataires prcis :Seules les personnes habilites au sein

de la socit concerne, (par exemple : les personnes charges du service
marketing), peuvent accder aux informations concernant les
personnes parraines ou participant au jeu concours.

La scurit :Pour viter notamment que des personnes non
autorises accdent aux informations, il est impratif de prendre
des mesures de scurit.
Par exemple, laccs aux donnes doit se faire avec un identifiant

et un mot de passe individuel.

Une dure de conservation limite :Les donnes relatives un
prospect non-client peuvent tre conserves pendant trois ans
compter de leur collecte ou du dernier contact.
Les droits des personnes :les parrains et les participants au jeu

concours disposent dun droit daccs et de rectification aux
informations les concernant. Les modalits concrtes dexercice
de ces droits doivent figurer sur le formulaire de collecte.

Les fichiers de gestion de la clientle et des prospects, y compris

issus de sites de-commerce, peuvent faire lobjet dune
dclaration de conformit la norme n48 (dclaration
simplifie).
Les dispositifs qui nentrent pas dans le cadre de cette norme

doivent faire lobjet dune dclaration normale.

Quels recours ?
Si, dans un dlai de deux mois aprs la demande, la socit ne

prend pas en considration le droit dopposition des personnes,
un recours est possible auprs :
du service des plaintes de la CNIL,
de lassociation Signal Spam (www.signal-spam.fr),
plate-forme nationale de lutte contre le spam,
de la direction dpartementale de la concurrence,
de la consommation et de la rpression des fraudes,
du procureur de la Rpublique.

Textes de rfrence
Le code pnal :
Le code de la consommation : Article L121-20-5
Le code des postes et des communications lectroniques :
Articles L34-5 et R10-1
Avis des Cnil europennes : Avis G29 15/2011 du 13 juillet
2011 sur la dfinition du consentement
La publicit par voie lectronique
Pour rechercher de nouveaux clients, les socits peuvent utiliser
de nombreux outils comme le courrier lectronique, le SMS, le
MMS.
Cette prospection peut tre vcue comme trs intrusive par les
personnes sollicites.
Pour viter les abus, un certain nombre de rgles encadrent ces

pratiques.

Pourquoi reoit-on de la publicit ?
Avec le dveloppement du commerce sur internet et lexistence de

nouveaux services, rseaux sociaux, applications, etc., lconomie
numrique gnre de nouvelles formes de publicit.
Les informations que les consommateurs communiquent aux

sites marchands ou aux applications mobiles peuvent tre
rutilises des fins de prospection par ml, sms ou mms.
Comme pour la publicit postale, des changes, locations ou

cessions de fichiers sont possibles.

Le profil consommateur
Ainsi, des socits sont aujourdhui spcialises dans la

compilation de donnes concernant les internautes pour tablir
des profils de consommateurs qui seront ensuite revendus
aux annonceurs, publicitaires et socits commerciales.

Le spam nest pas de la pub
Si la plupart des professionnels respectent les rgles en vigueur en

France, les botes aux lettres lectroniques sont aussi inondes de
spam , phishing ou scam.

Quelles garanties ?
Le consentement recevoir des sollicitations commerciales par

voie lectronique(ml, sms, mms) :
avant tout envoi dune sollicitation par voie lectronique, il faut

recueillir le consentement du consommateur recevoir de tels
messages ( opt-in ),
le consentement des consommateurs est ncessaire pour cder

ou changer leurs coordonnes lectroniques des fins de
prospection commerciale.

Exemples de formulations
Si vous voulez recevoir nos offres commerciales, merci de cocher

cette case
Si vous voulez recevoir des offres de nos partenaires, merci de

cocher cette case

Exceptions
Il existe des exceptions au recueil du consentement pralable

lorsque :
le message publicitaire est envoy sur ladresse lectronique

professionnelle dune personne physique
(ex : nom.prnom@entreprise.fr) et que lobjet de la
sollicitation est en rapport avec sa profession ( B2B ) ;
le message publicitaire concerne des produits ou services

analogues ceux que le consommateur a dj acquis auprs
du mme organisme. (ex : une entreprise qui a vendu un
livre pourra solliciter son client pour lui vendre un disque).
Dans ces deux hypothses, la personne doit tre informe que son
adresse lectronique sera utilise des fins de prospection lors de
la collecte de ses coordonnes.
Elle doit tre en mesure de sopposer lutilisation de ses

coordonnes de manire simple et gratuite.
Il sagit de lOpt out .

Si vous ne souhaitez pas recevoir de notre part des offres

commerciales pour nos produits ou services analogues ceux que
vous avez dj achets, merci de cocher cette case

Par voie lectronique on doit offrir au consommateur un moyen
gratuit, simple, direct et facilement accessible de ne plus
recevoir de message.

Exemple pour un courrier lectronique
Pour ne plus recevoir nos messages, cliquez ici . Ce lien doit

bien videmment fonctionner !
Exemple pour un SMS

Renvoyez STOP par SMS (attention, lenvoi de STOP ne
fonctionne que pour les numros expditeurs 5 chiffres
commenant par 3, 4, 5, 6, 7 ou 8).

Quelles garanties ?
Le consentement recevoir des sollicitations commerciales par

voie lectronique(ml, sms, mms) :
avant tout envoi dune sollicitation par voie lectronique, il faut

recueillir le consentement du consommateur recevoir de tels
messages ( opt-in ),
le consentement des consommateurs est ncessaire pour cder

ou changer leurs coordonnes lectroniques des fins de
prospection commerciale.

Le recueil du consentement :
Il doit sexprimer par un moyen simple et spcifique (par exemple,
une case cocher).
Le consentement recueilli par la simple acceptation des

conditions gnrales dutilisation ou de vente nest pas valable.

Exceptions
Il existe des exceptions au recueil du consentement pralable

lorsque :
le message publicitaire est envoy sur ladresse lectronique

professionnelle dune personne physique,
le message publicitaire concerne des produits ou services

analogues ceux que le consommateur a dj acquis auprs
du mme organisme.

Dans ces deux hypothses, la personne doit tre informe que son
adresse lectronique sera utilise des fins de prospection lors de
la collecte de ses coordonnes.
Elle doit tre en mesure de sopposer lutilisation de ses

coordonnes de manire simple et gratuite.
Le droit de sopposer : tout message publicitaire adress .

Si vous ne souhaitez pas recevoir de notre part des offres

commerciales pour nos produits ou services analogues ceux que
vous avez dj achets, merci de cocher cette case

Validit des donnes : 3 ans
Si le consommateur ne rpond aucune sollicitation 3 ans aprs
le dernier contact, les informations le concernant doivent tre
supprimes.
Il nest pas possible de rutiliser les donnes pour dautres fins

que celles pour lesquelles elles sont collectes. Par exemple :
les coordonnes recueillies lors dune opration de
recrutement ne peuvent pas tre utilises pour adresser des
publicits.

Mesures de scurit
Le responsable du fichier doit mettre en place des mesures de
scurit pour protger les donnes.
Ainsi, par exemple : si une socit fait appel un prestataire pour

lenvoi de ses publicits (routage), elle doit prvoir une clause
dans son contrat pour sassurer que ce prestataire ne rutilisera
pas les donnes pour son propre compte ou pour le compte
dautres clients.

La CNIL sanctionne les abus
La CNIL a prononc une sanction pcuniaire de 20 000

lencontre dune socit de diagnostic immobilier qui avait
dmarch par SMS, sans leur consentement, des propritaires de
biens immobiliers vendre.

Collecter des adresses lectroniques des particuliers sur des

sites internet ou des forums de discussion.
Prsumer du consentement du consommateur en proposant

des cases pr-coches.
Conditionner laccs un service, lachat dun bien ou le

bnfice dune rduction lacceptation de recevoir des
messages publicitaires par voie lectronique.

Les fichiers de gestion de la clientle et des prospects, y compris

issus de sites de-commerce, peuvent faire lobjet dune
dclaration de conformit la norme n48 (dclaration
simplifie).
Les dispositifs qui nentrent pas dans le cadre de cette norme

doivent faire lobjet dune dclaration normale.

Quels recours ?
En cas de difficult, vous pouvez saisir :

le service des plaintes de la CNIL,
lassociation Signal Spam (www.signal-spam.fr),
plate-forme nationale de lutte contre le spam,
le service 33700 (www.33700-spam-sms.fr),
le procureur de la Rpublique.

Textes de rfrence
Le code des postes et des communications lectroniques :
Articles L34-5 et R10-1
Le code pnal :
Avis des Cnil europennes : Avis G29 15/2011 du par voie
lectronique doit offrir au consommateur un moyen gratuit,
simple, direct et facilement accessible de ne plus recevoir de
message.
Une conservation limite des donnes.
Attention aux arnaques et escroqueries !
Phishing, scam...Vous recevez un ml dans lequel il vous est

demand de mettre jour ou de confirmer suite un
incident technique vos donnes, notamment bancaires.
Un inconnu vous envoie un ml pour vous proposer de servir
dintermdiaire, contre rmunration, pour une transaction
financire internationale, ou de rcuprer votre gain une loterie
ou encore de le contacter pour percevoir un hritage. Vous tes
invit communiquer vos coordonnes, puis il vous sera demand
de verser une avance ou des frais quelconques, sans que vous
nobteniez rien en retour !
Vous informaticiens cela vous amuse mais les formes sont de plus
en plus vari et de plus en plus professionnelles; vu dernirement
une banque centrale nationale ex.

Le scam

Le scam
Le scam ( ruse en anglais), est une pratique frauduleuse

d'origine africaine, consistant extorquer des fonds des
internautes en leur faisant miroiter une somme d'argent dont
ils pourraient toucher un pourcentage. L'arnaque du scam est
issue du Nigria, ce qui lui vaut galement l'appellation 419
en rfrence l'article du code pnal nigrian rprimant ce
type de pratique.

L'arnaque du scam est classique : vous recevez un courrier
lectronique de la part du seul descendant d'un riche africain
dcd il y a peu. Ce dernier a dpos plusieurs millions de
dollars dans une compagnie de scurit financire et votre
interlocuteur a besoin d'un associ l'tranger pour l'aider
transfrer les fonds. Il est d'ailleurs prt vous reverser un
pourcentage non ngligeable si vous acceptez de lui fournir un
compte pour faire transiter les fonds.
En rpondant un message de type scam, l'internaute

s'enferme dans un cercle vicieux pouvant lui coter de
quelques centaines d'euros s'il mord l'hameon et mme la
vie dans certains cas.
Deux cas de figures se prsentent :
Soit les changes avec l'escroc se font virtuellement auquel cas

celui-ci va envoyer quelques documents officiels pour
rassurer sa victime et petit petit lui demander d'avancer des
frais pour des honoraires d'avocats, puis des frais de douanes,
des frais de banque, etc.
Soit la victime accepte, sous pression du cyberbandit, de se
rendre dans le pays avec la somme en liquide auquel cas elle
devra payer des frais pour pouvoir rester dans le pays, payer
des frais de banque, soudoyer des hommes d'affaires, et ainsi
de suite.
Dans le meilleur des cas la victime rentre chez elle en avion
dleste d'une somme d'argent non ngligeable, dans le pire
scnario plus personne ne la revoit...
Arnaque aux faux virements
source le figaro

Comme Michelin, de plus en plus de socits, petites ou
grandes, sont victimes de cette escroquerie. La plupart des
fonds atterrissent sur des comptes bancaires en Chine. Les
autorits judiciaires franaises, en visite Pkin, tentent
d'organiser la riposte.

C'est un phnomne inquitant, qui prend de plus en plus
d'ampleur en France. Les arnaques aux faux ordres de
virements explosent dans l'Hexagone. Ce qui n'tait qu'un
phnomne mergent en 2012 s'est transform en vritable
raz-de-mare qui s'est abattu sur la France, selon les membres
d'une dlgation du ministre franais de la Justice, en
dplacement Pkin o les fonds vols atterrissent
majoritairement.

Ces virements totalement indus reprsentent 300 millions
d'euros de prjudice et 700 procdures comptabilises par les
services d'enqute franais, qui constatent une acclration
des faits fin 2013, dbut 2014. Dernire grosse arnaque en
date: le groupe Michelin qui vient d'annoncer le vol de 1,6
million d'euros. Le fabricant de pneumatiques a t victime
d'une personne se prsentant comme le directeur financier de
l'un de ses fournisseurs.

Le virement dessai
D'aprs la magistrate Alexandra Savie, trois modes opratoires
existent dans ce type d'affaires :
Le premier consiste s'introduire dans la comptabilit de

l'entreprise, en se faisant passer pour un technicien bancaire qui
demande un virement d'essai au prtexte d'une mise jour
informatique.

Arnaque avec un logiciel
L'autre manuvre fait appel la cybercriminalit, avec des

logiciels malveillants tels que Zeus ou Blackshades RAT,
permettant de compiler les informations requises pour raliser
un transfert financier

Escroquerie au faux prsident
Enfin, la troisime technique est surnomme escroquerie au
faux prsident: l'escroc se fait passer pour le patron de la
socit et exige du comptable un virement express, cens
s'inscrire dans une OPA confidentielle ou une dissimulation
fiscale.

Le compte rebond
D'aprs la dlgation franaise en Chine, les virements
transitent d'abord sur un compte rebond, aussi appel
compte taxi, situ en Europe de l'Est, en Grce, Chypre, au
Royaume-Uni ou en Allemagne. Puis ils arrivent en Chine. Cela
va la vitesse supersonique, en un clic des sommes
considrables se dplacent, a soulign depuis Pkin le haut
magistrat Robert Gelli, qui occupe le poste stratgique de
directeur des affaires criminelles et des grces. La part des
sommes restitues reste trs faible, dplore-t-il

La mthode
Les escrocs oprent depuis l'tranger et utilisent normment
de dispositifs qui leur permettent d'tre anonymes: des
plateformes tlphoniques o ils vont louer des numros de
tlphone et des numros de fax, des adresses IP alatoires,
des serveurs proxy qui dissimulent l'adresse IP, a dtaill
Alexandra Savie. Ce qui est nouveau est l'extrme
sophistication du montage, ajoute la magistrate, en citant
l'exemple de l'usine Seretram qui met en bote le mas Gant
Vert dans les Landes, qui a t dleste de 17 millions
d'euros....

La mthode
Petites ou grandes, les socits touches vont tre
compltement branles, dans leur organisation interne
puisqu'il va y avoir des licenciements, dans leur viabilit
puisqu'on a normment de fonds qui sont partis et, pour
autant, il va falloir faire face au paiement des fournisseurs et
des salaris, a-t-elle relat. Alexandra Savie fait tat de
suicides parmi les victimes

La mthode
Touchant surtout les pays francophones, le phnomne se
diffuse dsormais en Espagne et dans les pays d'Europe du
Nord. Les particuliers commencent aussi tre cibls,
notamment pour les assurances-vie, les malfaiteurs contactant
les familles endeuilles qu'ils localisent en recourant au site
avisdedeces.net.

Pression sur Pkin
D'aprs les autorits franaises, les escrocs passent souvent
l'action le vendredi aprs-midi, quand la ractivit est moindre.
Lorsque les fonds arrivent en Chine, leurs complices ont sept
heures d'avance sur l'Europe grce au dcalage horaire, a
soulign la magistrate. En face, les services de rpression franais
en sont rduits des procdures laborieuses, par courrier postal,
pour saisir leurs homologues chinois et faire jouer l'entraide
pnale.

Comit de pilotage
Pkin, Robert Gelli a donc annonc la mise en place d'un
comit de pilotage charg d'explorer les moyens de
raccourcir les dlais pour geler les fonds identifis. Aprs avoir
prt une oreille attentive aux proccupations franaises, les
magistrats chinois ont, leur tour, fait valoir des demandes
s'inscrivant dans l'actuelle campagne anticorruption mene par
le rgime communiste. Pkin souhaite des actions efficaces
contre les officiels chinois corrompus ayant fui en Europe. Un
trait d'extradition est d'ailleurs en voie de ratification Paris.

Recours
Ne rpondez jamais ces messages. Signalez- les votre
fournisseur de messagerie en le marquant en tant que SPAM
ou message indsirable .
Pour plus dinformations sur ces tentatives descroquerie,

contactez la plateforme de la police info escroquerie au 0811
02 02 17


Fin du module

PROTECTION DES DONNES DANS LUE
DIRECTIVE 2016

Objectifs
Objectif 1 :
Objectif 2 :
Objectif 3 :
Objectif 4 :
Objectif 5 :

Chapitre 1 : La reforme
Chapitre 2 : Protection des

donnes personnelles et forces
de l'ordre
Chapitre 3 : La rforme dans la

pratique
Chapitre 4 : le supervisor
Chapitre 5 : Rappel les BCR

TITRE DU CHAPITRE

Rfrences
Commission europenne - Communiqu de presse
Bruxelles, le 15 dcembre 2015

Historique
Propose par la Commission europenne en janvier 2012 la
rforme de la protection des donnes comprend :
le rglement gnral sur la protection des donnes et
la directive relative la protection des donnes caractre
personnel traites par la police et les autorits judiciaires
pnales.
Elle actualise et remplace les rgles actuellement en vigueur en

matire de protection des donnes, qui se fondent sur la directive
sur la protection des donnes de 1995 et la dcision-cadre de
2008 pour le secteur de la police et de la justice pnale.

Mise en application 2018

Rgles identiques dans toute UE
Plus de 90 % des Europens dclarent quils souhaitent que les
mmes droits en matire de protection des donnes soient
appliqus dans lensemble de lUE et ce, indpendamment
du lieu o leurs donnes sont traites: il en sera bientt ainsi.
La rforme mettra fin l'ensemble disparate de rgles en
matire de protection des donnes qui existe actuellement
dans lUE.

Andrus Ansip, vice-prsident de la Commission europenne
pour le march unique numrique, a dclar: L'accord conclu
aujourd'hui constitue une avance majeure vers le march
unique numrique. Il permettra dliminer les obstacles et
douvrir des perspectives

La prochaine tape consiste prsent supprimer les obstacles
injustifis qui limitent le flux de donnes transfrontires: les
pratiques locales et, dans certains cas, la lgislation nationale,
qui limitent le stockage et le traitement de certaines donnes
en dehors du territoire national. Nous allons donc aller de
lavant et construire dans lUE une conomie fonde sur les
donnes, ouverte et prospre, qui respecte les normes de
protection des donnes les plus strictes et qui ne comporte pas
dentraves injustifies.

Vra Jourov, commissaire europenne pour la justice, les
consommateurs et lgalit des genres a dclar:
l'harmonisation des rgles en matire de protection des
donnes qui s'appliqueront la police et aux autorits
judiciaires pnales va faciliter la coopration entre les forces de
l'ordre des tats membres et renforcer la confiance mutuelle,
contribuant ainsi au programme europen en matire de
scurit.


LA REFORME

Le rglement gnral
Le rglement gnral sur la protection des donnes permettra
aux personnes physiques de mieux contrler leurs donnes
personnelles.
Dans le mme temps, la modernisation et l'uniformisation des

rgles permettront aux entreprises de tirer le meilleur parti des
possibilits offertes par le march unique numrique en
rduisant les formalits administratives auxquelles elles sont
soumises et en renforant la confiance des consommateurs.

Directive / la police et justice pnale
La directive sur la protection des donnes dans le secteur de la
police et de la justice pnale garantira que les donnes des
victimes, des tmoins et des suspects sont dment protges
dans le cadre d'enqutes criminelles et d'autres actions des
pouvoirs publics.
Dans le mme temps, une lgislation plus harmonise facilitera

la coopration transfrontire entre les forces de l'ordre afin de
lutter contre la criminalit et le terrorisme de faon plus
efficace dans toute lEurope.

Un droit fondamental des citoyens
La rforme permettra aux individus de reprendre le contrle de

leurs donnes personnelles.
Selon un rcent sondage Eurobaromtre, deux tiers (67 %) des Europens

sont inquiets de ne pas avoir lentire matrise des informations quils
fournissent en ligne.
Sept Europens sur dix sinquitent de lutilisation que les entreprises

pourraient faire des informations qu'ils ont divulgues.

Les nouvelles rgles rpondent ces proccupations en renforant
les droits existants et en octroyant aux individus une matrise
accrue de leurs donnes personnelles. Plus particulirement, elles
contiennent :
un accs plus simple aux propres donnes personnelles : les

individus disposeront de plus dinformations sur la faon dont
leurs donnes sont traites, et ces informations devront tre
formules de manire claire et comprhensible;

un droit la portabilit des donnes: il sera plus facile de
transfrer les donnes personnelles d'un prestataire de services
un autre;
un droit loubli plus clair: lorsqu'un individu ne souhaite

plus que les donnes qui le concernent soient traites, et ds
lors qu'aucun motif lgitime ne justifie leur conservation, ces
donnes seront supprimes;

Des rgles claires et modernes pour les
entreprises
lheure de lconomie numrique, les donnes personnelles
ont acquis une norme importance conomique, en particulier
dans le domaine des mgadonnes (Big data). En uniformisant
les rgles europennes en matire de protection des donnes,
les lgislateurs crent des opportunits commerciales et
encouragent linnovation.

Le guichet unique
Un guichet unique: Les entreprises traiteront avec une seule
autorit de contrle, ce qui leur permettra dconomiser
quelque 2,3 milliards deuros par an.
Lapplication des rgles europennes sur le sol europen: les

entreprises tablies hors dEurope devront se conformer la
rglementation europenne pour pouvoir offrir leurs services
dans lUnion.

Risques /garanties
Une approche fonde sur les risques: plutt qu'une approche
uniforme inadapte aux situations particulires, la nouvelle
rglementation prvoit des rgles sur mesure en fonction des
risques.
Des rgles qui favorisent linnovation: le rglement imposera

que des garanties en matire de protection des donnes soient
intgres aux produits et services ds la phase initiale de leur
conception (protection des donnes ds la conception).

Pseudonysation
Des techniques de protection de la vie prive comme la
pseudonymisation seront encourages, en vue de tirer parti
des avantages de l'innovation des mgadonnes tout en
protgeant la vie prive.

Des avantages pour les grandes et les
petites entreprises
La rforme de la protection des donnes stimulera la croissance
conomique en rduisant les cots et les charges administratives
pour les entreprises europennes, notamment pour les PME. La
rforme de la protection des donnes dans lUE aidera ces
dernires conqurir de nouveaux marchs. Les nouvelles rgles
leur permettront de rduire leurs charges administratives sur
quatre plans:
plus de notifications: les notifications aux autorits de

contrle constituent une formalit qui reprsente un cot
de 130 millions deuros par an pour les entreprises. La
rforme les liminera entirement;

petites entreprises
chaque centime compte: lorsque des demandes daccs
des donnes sont manifestement infondes ou excessives,
les petites et moyennes entreprises seront en mesure
dexiger le paiement de frais pour offrir cet accs;
dlgus la protection des donnes: les PME sont

exemptes de lobligation de dsigner un dlgu la
protection des donnes dans la mesure o le traitement des
donnes nest pas leur cur de mtier;

petites entreprises
analyses d'impact: les PME ne seront pas obliges de procder
une analyse dimpact, moins quil nexiste un risque lev.


PROTECTION DES DONNES
PERSONNELLES ET FORCES DE
L'ORDRE
Une meilleure coopration entre forces
de l'ordre
Avec la nouvelle directive relative la protection des donnes
caractre personnel traites par la police et les autorits
judiciaires pnales, les forces de l'ordre des tats membres de
lUE pourront changer plus efficacement les informations
ncessaires pour les enqutes, ce qui amliorera la
coopration en matire de lutte contre le terrorisme et dautres
formes graves de criminalit en Europe.

La directive
tient compte des besoins spcifiques des forces de l'ordre
elle respecte les diffrentes traditions juridiques des pays de

l'Union
Elle est conforme la Charte des droits fondamentaux.

Une meilleure protection des donnes
des citoyens
Les donnes personnelles des individus seront mieux protges
lorsqu'elles seront traites par les forces de l'ordre, y compris dans
le cadre de la prvention de la criminalit.
Tous seront protgs, que ce soit :
la victime,
l'inculp ou
le tmoin.

Dans l'Union, tout traitement des donnes par les forces de l'ordre
devra satisfaire aux principes
de ncessit,
de proportionnalit et
de lgalit,
et prvoir des garanties appropries pour les individus.

Le contrle sera assur par :
des autorits nationales indpendantes, charges de la

protection des donnes,
et un recours juridictionnel effectif devra tre prvu.

Transfert union
La directive tablit des rgles claires pour le transfert de
donnes personnelles effectu par les forces de l'ordre vers
lextrieur de lUE, afin qu'il ne soit pas port atteinte la
protection des personnes physiques telle que garantie dans
lUnion.


LA RFORME DANS LA PRATIQUE

Existe-t-il une protection spcifique
pour les enfants?
Oui, le rglement reconnat que les enfants mritent une
protection spcifique de leurs donnes personnelles, car ils
peuvent tre moins conscients des risques, des consquences,
des garanties et de leurs droits en matire de traitement des
donnes caractre personnel. Par exemple, ils bnficient
dun droit plus clair loubli numrique.

Autorisation parentale
Sagissant des services de la socit de linformation qui sont
directement proposs un enfant, le rglement prvoit que le
consentement au traitement des donnes de l'enfant doit tre
donn ou autoris par le titulaire de la responsabilit parentale
lgard de cet enfant.
Il appartient aux tats membres de fixer l'ge limite

jusqu'auquel une autorisation parentale est ncessaire, entre
13 et 16 ans.

lobjectif de cette disposition spcifique vise protger les
enfants contre les pressions qui peuvent les pousser partager
des donnes caractre personnel sans avoir pleinement
conscience des consquences que cela implique.
Il ne s'agira pas d'empcher les adolescents d'utiliser linternet

pour obtenir des informations et des conseils, se former, etc.

Qu'entend-on par guichet unique?
Dans un march unique des donnes, des rgles identiques sur
papier ne sont pas suffisantes. Les rgles doivent tre
appliques de la mme manire partout. Les entreprises
nauront affaire qu une seule autorit de contrle, et non
plus 28.

Cela garantira la scurit juridique pour les entreprises, qui
tireront avantage :
de dcisions plus rapides, dun interlocuteur unique (contre

plusieurs points de contact actuellement) et
de formalits administratives rduites, tout comme elles

bnficieront
de la cohrence des dcisions dans les cas o la mme activit

de traitement s'effectue dans plusieurs tats membres.

En quoi les nouvelles rgles permettront-
elles de faire des conomies?
les entreprises n'auront plus se conformer qu' une seule
lgislation, contre 28 actuellement. Les nouvelles rgles
apporteront des avantages dun montant estim 2,3 milliards
deuros par an.
Exemple: rduction des cots

Une chane de magasins a son sige social en France et des magasins franchiss
dans 14 autres pays de l'UE. Chaque magasin recueille des donnes relatives aux
clients et les transmet au sige social en France pour traitement ultrieur.

En quoi la rforme de la protection des
donnes favorisera-t-elle linnovation et
lutilisation des mgadonnes?
Selon certaines estimations, la valeur des donnes caractre

personnel des Europens est susceptible d'augmenter pour
atteindre prs de 1 000 milliards deuros par an d'ici 2020.

La protection des donnes ds la conception et par
dfaut deviendra un principe essentiel.
Il encouragera les entreprises
innover et
dvelopper de nouvelles ides, mthodes et technologies aux
fins de la scurit et de la protection des donnes caractre
personnel.
Si elles appliquent ce principe en liaison avec des analyses d'impact relatives

la protection des donnes, les entreprises disposeront d'outils efficaces pour
crer des solutions technologiques et organisationnelles.

Le rglement met en avant des techniques telles que
lanonymisation (la suppression des informations permettant
didentifier des personnes lorsque celles-ci ne sont pas
ncessaires),
la pseudonymisation (le remplacement par de faux identifiants
des informations permettant didentifier des personnes) et
le cryptage (l'encodage de messages afin qu'ils ne puissent tre
lus que par des personnes autorises) pour protger les
donnes caractre personnel.
Ces techniques favoriseront le recours l'analyse des mgadonnes, qui peut

se faire laide de donnes anonymises ou pseudonymises.

Exemple: voitures sans conducteur
La technologie utilise dans les voitures sans conducteur ncessite
d'importants flux de donnes, notamment l'change de donnes
caractre personnel. Les rgles en matire de protection des
donnes vont de pair avec les solutions innovantes et de progrs.
Par exemple, en cas daccident, les voitures quipes d'un systme

dappel durgence eCall appellent automatiquement le centre
de secours le plus proche. Il sagit dun exemple de solution
pratique et efficace, conforme aux principes de l'UE en matire de
protection des donnes. Grce aux nouvelles rgles, la fonction
eCall gagnera en facilit, en simplicit et en efficacit du point
de vue de la protection des donnes.

La finalit
Un principe en la matire est que lorsque des donnes caractre
personnel sont collectes pour une ou plusieurs finalits, elles ne
doivent pas tre traites ultrieurement de manire incompatible
avec les finalits initiales.
Ce principe ninterdit pas le traitement une fin diffrente ni ne

restreint les donnes brutes utiliser dans les analyses. Un
critre dterminant pour apprcier si une nouvelle finalit est
compatible ou non avec la finalit initiale est de savoir si elle est
quitable.

La finalit
L'quit prendra en considration des critres tels que l'incidence
sur la vie prive des personnes concernes (par exemple, des
dcisions prcises et cibles au sujet des personnes identifies) et
si une personne peut raisonnablement s'attendre voir ses
donnes personnelles utilises de cette nouvelle manire.
Aussi, dans lexemple des voitures sans conducteur, les donnes brutes peuvent-
elles tre utilises pour analyser les lieux o se produisent le plus grand
nombre daccidents et la manire dont on pourrait viter de futurs accidents.
Elles peuvent galement servir lanalyse des flux de trafic, afin de rduire les
embouteillages.

Lanalyse
Les entreprises devraient tre en mesure danticiper et
dinformer les personnes des utilisations et des avantages
potentiels des mgadonnes, mme si les dtails de lanalyse
ne sont pas encore connus.
Elles devraient galement rflchir la question de savoir si les

donnes peuvent tre rendues anonymes pour ce type de
traitement ultrieur. Une telle approche permettrait de
conserver des donnes brutes pour les mgadonnes, tout en
protgeant les droits des personnes.

L apparente complexit des produits innovants et des analyses
de mgadonnes nest pas une excuse pour omettre de
demander le consentement des personnes concernes lorsque
celui-ci est requis.
Ces exigences de forme, telles que le consentement, figurent

dans la rglementation afin de confrer aux particuliers la
matrise ncessaire de leurs donnes personnelles et
d'apporter la scurit juridique tout un chacun. La nouvelle
rglementation de lUE apportera une certaine souplesse quant
la manire de satisfaire ces exigences.

En quoi la directive sur la protection des donnes dans
le secteur de la police et de la justice pnale a-t-elle une
incidence sur les oprations rpressives?
Les services rpressifs pourront changer des donnes de
manire plus efficiente et plus efficace. En harmonisant
davantage les 28 lgislations nationales, les rgles communes
en matire de protection des donnes permettront aux
autorits policires et judiciaires de cooprer plus efficacement
et plus rapidement en facilitant lchange de donnes
caractre personnel ncessaire pour prvenir la criminalit
dans des conditions de scurit juridique, en totale conformit
avec la Charte des droits fondamentaux de l'Union europenne.

Les services rpressifs nauront plus appliquer des
rglementations diffrentes en matire de protection des
donnes selon lorigine des donnes caractre personnel, ce
qui leur permettra dconomiser du temps et de largent. Les
nouvelles rgles sappliqueront la fois au traitement national
et aux transferts transfrontires de donnes caractre
personnel.
Cette harmonisation plus pousse des lgislations nationales
dans lUE facilitera la coopration de nos forces de police.
Les dispositions de la directive tiennent compte des besoins
spcifiques des services rpressifs et respectent la diversit des
traditions juridiques des tats membres.


TITRE DU CHAPITRE

Recommandations du CEPD relatives aux options de l'UE en matire de
rforme de la protection des donnes
Giovanni BUTTARELLI
Contrleur europen de la protection des donnes
LE SUPERVISOR

Transferts internationaux et transferts
vers des parties prives.
Larrt Schrems confirme les conditions strictes rgissant le
transfert de donnes caractre personnel vers des pays
tiers.
Cela signifie, par exemple, quune dcision constatant le

caractre adquat du niveau de protection devra tre fonde
sur une valuation complte du secteur de lapplication de la
loi. Une dcision constatant le caractre adquat du niveau de
protection ne doit pas priver lautorit de contrle du pouvoir
dexaminer un transfert spcifique et de prendre des mesures
coercitives lorsque le transfert ne satisfait pas aux
exigences requises

De plus, nous recommandons de veiller ce que le transfert de
donnes caractre personnel sans une dcision constatant le
caractre adquat de la protection se limite aux situations o il
existe un instrument juridiquement contraignant, ou lorsquil
est ncessaire de protger les intrts vitaux de la personne
concerne ou dans le cas dune menace grave et immdiate la
scurit publique

Enfin, nous pensons qu'un transfert vers une partie prive ne peut
avoir lieu que si les conditions actuellement exposes dans la
recommandation n R(87)15 du Conseil de lEurope sont
remplies. Ce transfert ne doit intervenir que lorsque la
communication est sans aucun doute dans lintrt de la personne
concerne et si celle-ci y a consenti ou si les circonstances
permettent de prsumer sans quivoque un tel consentement, ou
si la communication est ncessaire pour viter un danger grave et
imminent. Nous recommandons dadapter en consquence
larticle 36 bis , comme suggr par le Conseil.

Les transferts vers une partie prive ne pourront avoir lieu que
si les conditions actuellement exposes dans la recommandation n
R(87)15 du Conseil de lEurope sont remplies.

TRANSFERT VERS LES ETATS UNIS

Safe Harbor : que doivent faire les entreprises ?
08 fvrier 2016

Depuis la dcision de la Cour de Justice de lUnion Europenne
du 6 octobre, il nest plus possible de raliser des transferts sur
la base du Safe Harbor. La CNIL informe les entreprises sur les
alternatives encore possibles pour les transferts

La dcision de la Cour de Justice de lUnion Europenne du 6
Octobre 2015 a invalid le mcanisme dadquation dit de Safe
Habor permettant le transfert de donnes vers les Etats-Unis.
En consquence, il nest dsormais plus possible de raliser un
tel transfert sur la base du Safe Harbor

La CNIL et ses homologues europens (G29) se sont runis le 15
octobre pour laborer un plan daction commun permettant
aux acteurs de sadapter au nouveau contexte juridique. Le G29
a dabord appel les institutions et les gouvernements
europens construire un nouveau cadre juridique permettant
de procder des transferts de donnes entre lEurope et les
Etats-Unis conformment aux exigences de la Cour de Justice
de lUnion Europenne, et ceci, dans un dlai de 3 mois.

Les Etats-Unis et la Commission Europenne ont annonc le 1er
fvrier la conclusion dun nouvel accord appel "EU-U.S. Privacy
Shield". Cet accord doit dsormais tre analys par le G29 afin
den connatre prcisment le contenu et dvaluer sil rpond
aux proccupations importantes relatives aux transferts
internationaux de donnes souleves par la dcision de la
CJUE.

Comment continuer les transferts ?
Le G29 considre que les autres mcanismes juridiques de

transfert peuvent encore tre utiliss par les entreprises.
Par consquent, les entreprises peuvent recourir aux Binding
Corporate Rules (BCR) et aux clauses contractuelles
types adoptes par la Commission europenne (clauses de
responsable de traitement responsable de traitement et clauses de
responsable de traitement sous-traitant).

Quelles formalits ?
Afin de permettre un traitement rapide par les services de la

CNIL, les entreprises peuvent utiliser les normes
simplifies n46 et n48 relatives respectivement la
gestion des ressources humaines et la gestion des clients et
prospects, qui autorisent le transfert de donnes au moyen de
ces outils BCR et clauses contractuelles.
Dans lhypothse o des donnes sont transfres aux Etats-

Unis en dehors du champ de ces deux normes simplifies, les
entreprises doivent indiquer la CNIL quelles garanties
encadrent le transfert, en compltant lannexe transfert
disponible sur le site.


RAPPEL LES BCR

Les Binding Corporate Rules (ci-aprs BCR) dsignent un code
de conduite interne qui dfinit la politique d'un groupe en
matire de transferts de donnes personnelles hors de l'Union
europenne.
Les BCR doivent tre contraignantes et respectes par toutes les

entits du groupe, quel que soit leur pays dimplantation , ainsi
que par tous leurs salaris

A quoi servent les BCR ?
Les BCR constituent une alternative aux Clauses
Contractuelles Types puisqu'elles permettent d'assurer un niveau
de protection suffisant aux donnes transfres hors de l'Union
europenne. En ce sens, elles constituent galement une
alternative aux principes du Safe Harbor pour les transferts vers
les Etats-Unis

Quelles sont les entreprises concernes ?
Les entreprises concernes sont les multinationales exportant des
donnes depuis leurs entits situes au sein de l'Union
europenne vers des pays tiers n'assurant pas un niveau de
protection quivalent celui de l'Union europenne.

Quels sont les avantages des BCR?
Les BCR permettent...
d'tre en conformit avec les principes de la directive
europenne 95/46/CE ;
d'uniformiser les pratiques relatives la protection des

donnes personnelles au sein d'un groupe. ;
de prvenir les risques inhrents aux transferts de donnes

personnelles vers des pays tiers ;
d'viter de conclure autant de contrats qu'il existe de

transferts au sein d'un groupe ;
Quels sont les avantages des BCR?
de communiquer sur la politique d'entreprise en matire
de protection des donnes personnelles auprs de ses
clients, partenaires et salaris et de leur assurer un niveau
de protection satisfaisant lors des transferts de leurs donnes
personnelles ;
de constituer un guide interne en matire de gestion des

donnes personnelles ;
de placer la protection des donnes au rang des

proccupations thiques du groupe

Quelle est la premire tape lorsque mon
entreprise souhaite adopter des BCR
Lorsque votre entreprise souhaite adopter des BCR, elle doit tout
d'abord dsigner une autorit europenne de protection des
donnes dite chef de file , telle que la CNIL, qui sera en charge
de la procdure de coopration avec les autorits des autres
pays europens auprs desquelles vous dposerez des
demandes d'autorisation de transfert sur la base des BCR.
Cette autorit chef de file sera votre unique point de contact
puisque c'est cette autorit que votre entreprise prsentera son
projet de BCR.

Existe-t-il des documents auxquels je
peux me rfrer pour rdiger les BCR ?
Le G29 (Groupe des CNIL europennes) a adopt plusieurs
documents prsentant les exigences requises dans les BCR :
Le WP154 est une vritable trame de BCR sur laquelle vous
pourrez vous baser pour laborer la structure de vos BCR.
Le WP153 est une grille de lecture qui vous permettra de
vrifier que tous les lments exigs par le G29 sont prsents
dans vos BCR.
Le WP155 est une foire aux questions qui permet de prciser
certains points de droit.

Le document de travail WP133 est le formulaire de demande
officiel r emplir par l'entreprise afin que ses BCR soient tudies
par les autorits de protection des donnes europennes. Le
WP133 est un formulaire compos de deux parties :
La partie I permet l'entreprise de choisir officiellement
l'autorit de protection qu'elle souhaite dsigner comme autorit
de coordination, La partie II permet l'entreprise de
dmontrer que les BCR qu'elle soumet aux autorits rpondent
aux exigences poses par le G29.
Ces documents sont tlchargeables sur le site internet de la
CNIL (http://www.cnil.fr/vos-responsabilites/transferer-des-donnees-a-
letranger/les-bcr/).

Quelles sont les grandes tapes lorsque
lon recourt aux BCR ?

21 Etats membres de lEspace
conomique europen font
partie de la reconnaissance
mutuelle : Allemagne, Autriche,
Belgique, Bulgarie, Chypre,
Espagne, Estonie, France, Irlande,
Islande, Italie, Lettonie,
Liechtenstein, Luxembourg, Malte,
Norvge, PaysBas, Rpublique
Tchque, Royaume-Uni, Slovnie et
Slovaquie

Quelles procdures doivent tre dveloppes au sein
de mon entreprise afin de mettre en uvre les BCR ?
L'entreprise doit notamment s'engager mettre en uvre :
Un rgime de responsabilit pesant sur le sige europen
ou sur la filiale europenne responsable par dlgation de
la protection des donnes (ou autre rgime de responsabilit, sur
justification),
Une procdure de formation du personnel quant aux rgles
poses par les BCR,
Une procdure d'audit,
Une procdure interne de gestion des plaintes,
Un rseau de responsables la protection des donnes ou
d'employs qualifis pour la gestion des plaintes, la
surveillance et le contrle du respect des rgles internes

De quels droits les individus peuvent-ils
se prvaloir au titre des BCR ?
Les personnes dont les donnes sont traites et transfres par les
groupes qui mettent en place des BCR pourront se prvaloir de
tout manquement aux principes suivants :
Limitation des finalits,
Qualit et proportionnalit des donnes personnelles traites,
Traitement de donnes personnelles fond sur une base lgale,
Information des personnes concernes par les traitements
et accs ai s aux BCR par celles-ci,
Droit d'accs, de rectification, d'effacement et de
verrouillage des donnes, et objet du traitement,

Les personnes dont les donnes sont traites et transfres par les
groupes qui mettent en place des BCR pourront se prvaloir de
tout manquement aux principes suivants :
Limitation des finalits,
Qualit et proportionnalit des donnes personnelles traites,
Traitement de donnes personnelles fond sur une base lgale,
Information des personnes concernes par les traitements
et accs ais aux BCR par celles-ci,
Droit d'accs, de rectification, d'effacement et de
verrouillage des donnes, et objet du traitement,

Droits en cas de dcisions individuelles automatises,
Scurit et confidentialit,
Restrictions en cas de transferts ultrieurs en-dehors du
groupe,
Toute entit membre du groupe doit informer le responsable
la protection des donnes dsign au sein du groupe de
lexistence d'une lgislation locale risquant d'empcher cette
entit de respecter les BCR,
Mise en place dun mcanisme interne de gestion des plaintes
afin de recevoir les plaintes des personnes concernes,
Devoir de coopration du groupe avec les autorits de
protection des donnes personnelles comptentes
Responsabilit juridique du groupe et voies de recours.
Quelles formalits administratives dois-je effectuer lorsquun
transfert hors UE est bas sur des BCR approuves par la CNIL
et par les autres autorits de protection des donnes
comptentes ?

Les formalits accomplir auprs de la CNIL en matire de
transferts internationaux doivent s'articuler avec les formalits
relatives au traitement principal dont le transfert est issu.
Ainsi, la formalit qui devra tre effectue auprs de la CNIL est

celle correspondante au rgime juridique applicable au
traitement principal (dclaration normale, demande dautorisation ou
demande davis).
Dans ce formulaire, il devra tre prcis qu'un transfert de

donnes vers un pays non membre de l'Union europenne est
envisag et quil sera encadr par des rgles internes
dentreprise (BCR)

Une fois le formulaire soumis la CNIL, le dclarant recevra
un rcpiss pour le traitement principal, tandis que le
transfert sera instruit en vue de la dlivrance dune dcision
autorisant le transfert.
Les formalits auprs de la CNIL seffectuent en ligne sur le

site internet www.cnil.fr, rubrique Dclarer un fichier .


Fin du module

Cours Droit

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours Droit

Uploaded by

Copyright:

Available Formats

LE CADRE LGAL DE LA PROTECTION

DES DONNES PERSONNELLES

SUPINFO Official Document

A lissue de ce cours vous aurez acquis les connaissances et

Objectif 1 : comprendre les principes de la protection des

Objectif 2 : reprendre les dfinitions juridiques des termes de la

Objectif 3 : les obligations du responsable des traitements

SUPINFO International University http://www.supinfo.com

Chapitre 1 : Loi Informatique et

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

Principes de la protection des

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

les rpertoires dadresses,

les sites internet familiaux en accs restreint.

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

Un fichier a gnralement comme attributs :

SUPINFO International University http://www.supinfo.com

chaque fichier a un contenu, soit une suite ordonne d'octets,

SUPINFO International University http://www.supinfo.com

Comparer tous les octets de deux fichiers potentiellement

SUPINFO International University http://www.supinfo.com

la comparaison des noms : utile uniquement pour le

la comparaison des dates ou d'autres mtadonnes

SUPINFO International University http://www.supinfo.com

le contrle de la taille : deux tailles diffrentes garantissent

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

les fichiers lis un priphrique, permettant d'accder

les liens symboliques (parfois appels alias ou raccourcis).

SUPINFO International University http://www.supinfo.com

Les premiers ont un contenu pouvant tre interprt comme

SUPINFO International University http://www.supinfo.com

" Constitue un traitement de donnes caractre personnel

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

"Est dnomme traitement automatis dinformations

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

galement toute procdure de tltransmission de donnes

Ne sont pas concerns par la loi, les traitements mis en

Art. 2 de la loi "Informatique et liberts

" La personne concerne par un traitement de donnes caractre personnel

SUPINFO International University http://www.supinfo.com

Les donnes sont considres " caractre personnel" ds lors

Une personne est identifie lorsque par exemple son nom

SUPINFO International University http://www.supinfo.com

ensemble dinformations permettant de discriminer une

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com

Les technologies de linformation et de la communication

SUPINFO International University http://www.supinfo.com

Les donnes sensibles sont celles qui font apparatre,

Par principe, la collecte et le traitement de ces donnes sont

SUPINFO International University http://www.supinfo.com

Les traitements pour lesquels la personne concerne a donn

La collecte et le traitement de ces donnes doivent dans ces

SUPINFO International University http://www.supinfo.com

SUPINFO International University http://www.supinfo.com